• 최종편집 2026-03-06 (금)

시큐리티
Home >  시큐리티

  • home>

실시간 시큐리티 기사

  •
    [SF보안 리포트] 제로데이 공격의 표적이 기업으로 바뀌었다... '해킹의 무기화' 경보
    [시큐리티팩트=김상규 기자] 기업 보안의 최후 보루로 여겨졌던 '제로데이(Zero-day, 보안 패치가 나오기 전 취약점을 노리는 공격)' 위협이 역대급 비중으로 기업 네트워크를 정조준하고 있다. 단순히 정보를 훔치는 수준을 넘어, 기업의 핵심 자산인 소스 코드를 탈취해 또 다른 공격 무기를 찍어내는 '해킹의 무기화' 단계로 진입했다는 분석이다. 특히 고도의 해킹 기술이 민간 영역에서 상품화되면서 누구나 강력한 공격 수단을 손에 넣을 수 있는 위험한 국면에 접어들었다. 기업 인프라 조준하는 제로데이 공격… '에지 디바이스'가 급소 구글 클라우드 위협 분석 그룹(GTIG)이 6일 발표한 연례 보고서에 따르면, 2025년 발생한 90건의 제로데이 공격 중 절반에 가까운 48%(43건)가 엔터프라이즈(Enterprise, 기업 및 대규모 조직) 기술을 겨냥했다. 이는 역대 최고 수치다. 공격자들은 특히 엔드포인트 탐지 및 대응(EDR, 단말기 위협 실시간 탐지·대응 기술) 솔루션의 감시가 느슨한 에지 디바이스(Edge Device, 라우터·방화벽 등 네트워크 경계 장비)를 집중 공략했다. 구글 클라우드 산하 맨디언트(Mandiant)의 최신 'M-Trends 2025' 보고서 역시 초기 침투 경로의 33%가 소프트웨어 취약점 악용이었으며, 가장 많이 공격받은 4대 취약점이 모두 에지 디바이스에 집중됐다고 분석했다. '사이버 용병'의 등장과 국가 해커 조직의 역전 가장 주목할 만한 변화는 공격 주체의 다변화다. 구글 클라우드 조사 이래 처음으로 상업용 감시 소프트웨어 제작 업체(CSV, 영리 목적으로 해킹 툴을 판매하는 민간 기업)에 의한 공격 사례가 국가 지원 해커 그룹을 추월했다. 과거 국가급 조직만 보유했던 고난도 공격 기술이 민간 영역에서 거래되는 '상품'이 된 것이다. 체크포인트(Check Point)의 2025 보안 보고서 역시 전 세계 사이버 공격이 전년 대비 44% 급증했음을 지적하며, 민간 영역의 해킹 기술 상품화가 가속화되고 있다고 경고했다. 국가별로는 중국 연계 스파이 그룹이 여전히 가장 활발했으며, 2024년 5건의 공격을 수행했던 북한 연계 그룹은 2025년 제로데이 공격 사례가 감지되지 않았다. AI가 앞당긴 보안 전쟁… '탐지에서 방어까지' 초단위 경쟁 AI 기술은 사이버 공격과 방어의 속도를 '초 단위' 경쟁으로 몰아넣고 있다. 구글 클라우드 위협 분석 그룹은 AI가 2026년 공격자와 방어자 간의 기술 경합을 더욱 가속화할 것으로 전망했다. GTIG 보고서에 따르면 공격자들은 AI를 활용해 정찰, 취약점 발견, 공격 코드 개발 속도를 획기적으로 높이고 있다. 이는 방어자들이 제로데이 공격을 탐지하고 대응하는 데 전례 없는 압박으로 작용하고 있다. 실제로 크라우드스트라이크(CrowdStrike)의 분석 결과, 공격자가 시스템 침투 후 내부 확산을 시작하는 '브레이크아웃 타임(Breakout Time)'은 평균 29분까지 단축됐다. 최단 기록은 단 27초에 불과했다. 마이크로소프트(MS) 역시 공격자들이 생성형 AI로 사회 공학적 공격을 정교화하고 있다고 분석한 가운데, 구글 클라우드는 이에 맞선 'AI 방어 체계'의 중요성을 강조했다. 방어자들은 AI 에이전트를 활용해 보안 결함을 선제적으로 찾아내고 패치 작업을 자동화함으로써, 취약점이 실제 공격에 악용되기 전 이를 무력화하는 '선제적 방어'에 집중해야 한다는 분석이다. 지식 재산(IP) 탈취가 부른 '무기 무한 증식' 패러다임 단순 정보 유출을 넘어 탈취한 지식 재산(IP)을 새로운 공격 무기로 만드는 악순환도 고착화되고 있다. 스파이 그룹들이 기업의 소스 코드(소프트웨어 설계도)를 훔친 뒤 이를 AI로 정밀 분석해 또 다른 제로데이 취약점을 찾아내는 방식이다. 2025년 발생한 '브릭스톰(BRICKSTORM)' 악성코드 캠페인은 이러한 '자가 증식형 공격'의 대표적 사례다. 구글 클라우드는 2026년 AI 기술이 공격과 방어 양측의 경쟁을 더욱 격화시킬 것으로 전망했다. 공격자는 AI로 공격 코드 개발 속도를 높이고, 방어자는 AI 에이전트(Autonomous Agent, 스스로 판단해 작업을 수행하는 AI)를 투입해 보안 결함을 선제적으로 찾는 'AI 대 AI'의 대결 구도가 심화될 것으로 보인다. 선제적 방어 체계로의 전환… 'AI 에이전트' 도입 필수 전문가들은 기존의 사후 대응 방식으로는 초고속 공격을 막을 수 없다고 입을 모은다. 구글 클라우드는 "방어자들은 AI를 활용해 보안 결함을 선제적으로 찾고 패치 작업을 자동화하는 데 주력해야 한다"고 제언했다. 또한 크라우드스트라이크는 단순 맬웨어 탐지를 넘어 '아이덴티티(Identity, 사용자 식별 정보) 중심의 방어' 체계로의 전환이 필수적이라고 강조했다. 결국 누가 더 빠르게 AI를 보안 프로세스에 통합하느냐가 2026년 기업 보안의 승패를 가를 관건이 될 전망이다.
    • 시큐리티
    2026.03.06 11:09
  • 디도스 공격 ‘뉴 에라’ 진입… AI 무장한 800만 건의 파상공격
    [시큐리티팩트=김상규 기자] 전 세계적으로 디도스(DDoS, 분산 서비스 거부) 공격이 양과 질 모든 측면에서 폭발적으로 진화하며 기업과 국가 기간 인프라를 위협하고 있다. 특히 인공지능(AI)을 결합한 공격 자동화와 공격자 간의 정밀한 협업 체계가 구축되면서, 기존 보안 방어 체계를 무력화하는 소위 '디도스 뉴 에라(New Era, 새로운 시대)'가 도래했다는 분석이 나왔다. 글로벌 보안 기업 넷스카우트(NETSCOUT)가 5일 발표한 ‘2025년 하반기 DDoS 위협 인텔리전스 보고서’에 따르면, 지난해 하반기 전 세계 203개국에서 발생한 디도스 공격은 800만 건을 넘어선 것으로 나타났다. 이번 보고서에서 가장 주목되는 대목은 공격의 초대형화와 지능화다. 일부 공격은 초당 30테라비트(Tbps, 1초에 약 3.75테라바이트의 데이터를 전송할 수 있는 용량)라는 기록적인 규모를 기록했다. 이는 글로벌 차원의 보안 대응 노력을 비웃는 수준으로, 전체 공격의 42%가 2~5개의 서로 다른 공격 벡터(Attack Vector, 공격자가 목표물에 접근하거나 공격을 수행하는 경로 및 수단)를 동시에 사용하는 멀티 벡터 방식을 채택하고 있었다. 방어자가 탐지하기 어렵도록 공격 과정 중에도 실시간으로 형태를 바꾸는 적응형 회피(Adaptive Evasion) 기술이 적용된 결과다. 특히 인공지능의 도입은 디도스 생태계의 판도를 완전히 흔들고 있다. 공격자들은 AI를 활용해 타깃의 취약점을 초고속으로 식별하고 봇넷(Botnets, 악성코드에 감염되어 해커가 원격으로 조종할 수 있는 기기들의 네트워크)을 확장하고 있다. 넷스카우트에 따르면 실제로 다크웹(특수 프로그램으로만 접속 가능한 익명 네트워크) 내 악성 AI 도구 관련 언급은 전년 대비 219% 급증했다. 'Keymous+'와 같은 공격 조직은 AI 기반 협업을 통해 공격 트래픽 규모를 이전보다 4배 가까이 키운 것으로 확인됐다. 리처드 허멜 넷스카우트 위협 인텔리전스 부문 디렉터는 “위협 행위자들이 정교하고 조직화된 디도스 공격에 대응할 적절한 체계를 갖추지 못한 조직을 식별해 핵심 인프라를 공격하고 있다”며 “기존의 전통적인 보안 방어 체계는 더 이상 효과적이지 않으며, 자동화되고 사전 예방적인 방어를 구현하는 것은 이제 기술적 문제를 넘어 비즈니스의 필수 과제가 됐다”고 강조했다. 이 같은 디도스 위협의 맹위는 사물인터넷(IoT) 기기의 확산과 유료 공격 대행 서비스(DDoS-for-Hire, 비용을 지불하면 대신 디도스 공격을 해주는 서비스)의 활성화가 맞물린 결과다. 특히 해킹된 IoT 기기나 고객 댁내 장치(CPE, 모뎀이나 셋톱박스 등 사용자 측 통신 장비)가 좀비 PC 역할을 하며 초당 1Tbps 이상의 아웃바운드 트래픽(내부에서 외부 네트워크로 나가는 데이터 흐름)을 쏟아내는 사례가 늘고 있다. 이는 단순히 대상 서버를 마비시키는 데 그치지 않고, 통신사의 백본(Backbone, 최상위 기간망)에 과도한 부하 비용을 발생시키며 서비스 장애와 법적 책임 문제로까지 번지는 양상이다. 이러한 추세는 국내외 주요 보안 기관들의 분석과도 궤를 같이한다. 과학기술정보통신부와 한국인터넷진흥원(KISA)은 올해 초 발표한 '2026년 사이버 위협 전망'에서 올해를 AI가 공격의 전 과정에 활용되는 원년으로 규정했다. KISA에 따르면 2025년 디도스 신고 건수는 전년 대비 약 26.3% 증가하며 2,300건을 넘어섰으며, 2026년에는 AI가 정찰부터 침투까지 자동화하며 위협의 강도가 더욱 높아질 것으로 전망됐다. 실제 공격 사례에서도 위협의 심각성은 증명되고 있다. 클라우드플레어(Cloudflare)의 보고서에 따르면 최근 전 세계 100만 대 이상의 호스트를 감염시킨 '아이수루(Aisuru)' 봇넷이 등장해 29.7Tbps에 달하는 공격을 퍼부은 바 있다. 넷스카우트가 경고한 30Tbps급 위협이 이미 상시화된 셈이다. 또한 삼성SDS가 발표한 '2026년 사이버 보안 위협 트렌드' 리포트에서도 보안 전문가의 81.2%가 올해 가장 주목해야 할 위협 1순위로 'AI 기반 보안 위협'을 꼽았다. 이는 공격자들이 AI를 통해 공격의 속도와 규모를 가속화하는 현 추세를 업계가 매우 심각하게 받아들이고 있음을 시사한다. 결국 수동적인 모니터링이나 인력 기반의 대응만으로는 30Tbps에 육박하는 초대형 공격이나 실시간으로 변하는 멀티 벡터 공격을 막아내기에 역부족이라는 것이 중론이다. 취재에 응한 현장 보안 전문가들은 AI 공격에는 AI로 맞대응하는 자율형 방어 체계의 도입이 시급하다고 입을 모은다. 머신러닝(Machine Learning, 기계학습) 기반의 이상 트래픽 자동 차단 기술과 함께, 공격의 근원지인 네트워크 에지(Edge, 사용자 단말과 인접한 네트워크 지점)에서 즉각적으로 위협을 거르는 실시간 완화(Mitigation, 위협 완화 및 차단) 전략 등 근본적인 보안 체질 개선이 필요한 시점이다.
    • 시큐리티
    2026.03.05 11:42
  • [SF 이슈 분석] 사이버 공간으로 번진 전면전, ‘미·이-이란’ 디지털 전초전 격화
    [시큐리티팩트=김상규 기자] 지난달 28일, 미국과 이스라엘이 각각 '에픽 퓨리(Operation Epic Fury)'와 '로어링 라이언(Operation Roaring Lion)'으로 명명된 대규모 공동 공세를 개시했다. 초기 공격 직후 이란이 다방향 보복 캠페인에 나서며 중동의 물리적 충돌은 심각한 지역 간 분쟁으로 치닫고 있다. 글로벌 보안 기업 팔로알토 네트웍스(Palo Alto Networks)의 위협 인텔리전스 팀 '유닛 42(Unit 42)'는 지난 2일 발표한 보고서를 통해 이 공격 직후 이란 내 인터넷 연결성이 1~4% 수준으로 급락하며 국가 주도 해킹 그룹의 활동은 일시적으로 위축됐으나 외부 핵티비스트(Hacktivist·정치적 목적의 해커) 활동은 전방위적으로 격화되고 있다고 4일 밝혔다. 지휘 통제 마비가 불러온 ‘프록시’ 조직의 독자 행보 이란 본토의 인터넷 연결성은 현재 평시 대비 1~4% 수준으로 급락한 상태다. 팔로알토 네트웍스는 보고서에서 지도부의 지휘 통제(C2·Command and Control) 계통이 사실상 무너졌다고 분석했다. 그러나 보안 전문가들은 이를 위협의 소멸이 아닌 ‘전술적 자율성’의 확대로 해석하고 있다. 중동 외곽에 거점을 둔 이란 연계 대리 조직(Proxy·프록시)들이 지휘부의 승인 없이 독자적인 표적 선정과 공격을 감행하고 있기 때문이다. 이들은 미군 기지가 위치한 지역의 정부나 물류 시스템을 겨냥해 분산 서비스 거부(DDoS·디도스) 공격과 해킹 후 데이터 유출(Hack and Leak) 캠페인을 동시다발적으로 전개하며 물류 마비를 시도하고 있다. 글로벌 보안 기관 및 언론의 잇따른 경고 팔로알토 네트웍스의 발표 외에도 글로벌 보안 기관과 주요 외신들은 이번 사태의 심각성을 알리는 보고서를 쏟아내고 있다. 구글의 보안 자회사 맨디언트(Mandiant)는 최근 위협 분석 보고서를 통해 이란 지원 지능형 지속 위협(APT·Advanced Persistent Threat) 그룹인 'APT42'와 'APT33'의 활동이 급증했다고 보고했다. 맨디언트는 이들 조직이 과거의 '전략적 첩보 수집' 중심에서 에너지 인프라를 직접 타격하는 '파괴적 공격'으로 태세를 완전히 전환했다고 경고했다. 또한 전쟁 자금 조달을 위한 가상 자산 탈취 시도도 포착되고 있어 금융권의 각별한 주의가 요구된다. 이스라엘 국가 사이버국(INCB)은 1일(현지 시간) 긴급 브리핑을 통해 이른바 "사이버 도미노 현상"이 시작됐다고 발표했다. 이란 내부의 인터넷 차단이 오히려 외부 프록시 조직들의 통제 불가능한 폭주를 불러왔다는 분석이다. INCB는 특히 시민들에게 'Oref Alert'와 같은 출처가 불분명한 악성 안드로이드 설치 파일(APK) 형태의 '경보 앱' 설치를 절대 금지할 것을 강력히 권고했다. 2일(현지 시간) 미국 사이버보안 및 인프라 보안국(CISA) 역시 합동 권고안을 통해 친러시아 성향 해킹 단체인 '카디널(Cardinal)'과 이란 연계 조직 간의 데이터 공유 정황을 공개했다. 이에 따라 서방 국가의 주요 수자원 및 전기 그리드 운영사들에게 보안 등급을 즉시 격상할 것을 지시했다. 주요 언론 보도도 긴박하다. CNN은 2일(현지 시간) "디지털 전선의 확산: 중동 분쟁이 전 세계 사이버 공간을 어떻게 마비시키고 있는가"라는 제목의 특집 기사를 통해 '한달라 핵(Handala Hack)' 조직이 미국과 캐나다의 인플루언서들을 직접 협박하고 집 주소를 유출하는 실태를 집중 보도했다. 보안 전문 매체 더 해커 뉴스(The Hacker News)도 2일(현지 시간) 'FAD 팀'이 산업제어시스템(SCADA·스카다)을 겨냥해 사용한 '와이퍼(Wiper·데이터 삭제 악성코드)'의 샘플 분석 결과를 공개하며 데이터 파괴 위협이 현실화됐음을 알렸다. ‘전자 작전실’ 중심으로 결집한 60여 개 해킹 단체 3월 2일 기준, 이란 정보안보부(MOIS)와 연계된 조직을 포함해 약 60개의 개별 해킹 그룹이 활동 중인 것으로 파악됐다. 이들은 지난달 28일 신설된 '전자 작전실(Electronic Operations Room)'을 통해 공격 정보를 공유하고 전술을 조율하고 있다. 가장 두드러진 활동을 보이는 ‘한달라 핵’은 이스라엘 에너지 탐사 회사와 요르단의 연료 시스템을 무력화했다고 주장하는 한편, 이란계 인플루언서들에게 살해 위협 이메일을 발송하며 심리전의 수위를 높이고 있다. 이 밖에도 ‘사이버 이슬람 저항’은 드론 방어 시스템 침해를, ‘FAD 팀’은 이스라엘 보안 시설 제어 시스템(PLC·프로그래머블 로직 컨트롤러)에 대한 무단 접근을 시도하고 있다. 또한 ‘313 팀’과 ‘DieNet’은 쿠웨이트 국방부 및 정부 웹사이트, 바레인과 사우디아라비아, 아랍에미리트(UAE)의 주요 공항 및 은행을 대상으로 대규모 DDoS 공격을 감행했다. ‘APT 이란’과 ‘이블 마르코르스’ 역시 요르단 핵심 인프라 파괴와 이스라엘 금융권 자격 증명 탈취에 집중하고 있다. 친러시아 조직의 가세와 고도화된 사기 수법 러시아 연계 조직들의 참전은 전황을 더욱 복잡하게 만들고 있다. ‘카디널’은 이스라엘 방위군(IDF)의 북방 방해 작전 관련 기밀 문서를 유출했다고 주장했으며, ‘러시안 리전(Russian Legion)’은 아이언 돔(Iron Dome) 시스템의 레이더를 제어하고 서버를 침해했다는 성명을 발표했다. ‘NoName057(16)’ 역시 이스라엘의 정치·통신 기관에 대한 광범위한 방해 작전을 이어가고 있다. 일반 시민을 노린 교묘한 수법도 기승을 부린다. 사이버 범죄자들은 UAE 내무부를 사칭해 에미리트 식별 번호(EID)를 가로채는 사회공학적 영상 사기(Deepfake·딥페이크)를 벌이고 있으며, 랜섬웨어 서비스(RaaS) 그룹인 ‘타니쉬드 스코피어스(Tarnished Scorpius·일명 INC 랜섬웨어)’는 이스라엘 기업의 데이터를 인질로 삼고 로고를 하켄크로이츠로 교체하는 등 정치적 모독을 가하고 있다. 다중 방어 체계와 보안 위생의 생활화가 해법 사이버 공간에서의 전면전이 장기화될 것으로 예상됨에 따라 단일 보안 도구에 의존하는 방식은 한계가 명확하다. 가장 먼저 데이터의 생존성을 확보하기 위해 중요 자산은 반드시 네트워크와 물리적으로 단절된 에어갭(Air-gap·망 분리) 오프라인 백업 상태를 유지해야 한다. 이는 데이터 파괴를 목적으로 하는 와이퍼 공격에 대비한 최후의 보루다. 신뢰의 프로세스도 재정립해야 한다. 이메일이나 메시지를 통한 급박한 요청은 언제든 위조될 수 있으므로, 반드시 원래 채널이 아닌 별도의 통신 수단을 활용하는 대역 외(Out-of-band) 검증을 필수화해야 한다. 또한 비즈니스 연관성이 없는 고위험 지역의 지오 IP(Geo-IP) 접속을 선제적으로 차단하여 공격 표면을 줄이는 노력이 필요하다. 마지막으로 해킹 그룹의 과장된 성과 부풀리기와 심리전에 흔들리지 않도록 견고한 내부 커뮤니케이션 계획을 수립해야 한다. 신속한 사실 확인과 투명한 대응만이 대중의 공황을 막고 조직의 신뢰도를 지키는 길이다. 국가 지원 해커와 핵티비스트들은 기회주의적인 만큼, 예상치 못한 경로를 통한 침투에 항상 경계를 늦추지 말아야 한다.
    • 시큐리티
    2026.03.04 11:49
  • [실적 분석] 국내 보안업계, 2025년 '실적 잭팟'… 대형 사고 위기 속 AI·제로트러스트가 키웠다
    [시큐리티팩트=김상규 기자] 지난해 유독 대형 보안 사고가 잦았던 국내 시장에서 역설적으로 보안 기업들은 견고한 성장을 이뤄냈다. 기업들의 보안 경각심이 임계치를 넘어선 가운데, 인공지능(AI)과 제로트러스트 등 차세대 보안 기술을 선제적으로 도입한 기업들이 시장의 선택을 받으며 실적 개선에 성공한 것으로 나타났다. 27일 보안업계에 따르면 국내 보안 시장은 선두 기업 안랩을 비롯해 시큐아이와 이글루코퍼레이션이 견조한 실적을 올리며 1, 2, 3위 자리를 굳건히 지켰다. 이들 상위권 기업의 안정적인 성장과 더불어 중견 기업들의 영업이익 개선세도 뚜렷하게 나타났다. [2025년 국내 주요 보안 기업 실적 현황] (연결 기준) *공시 전인 일부 기업의 경우 증권가 전망치 및 잠정 실적을 합산 반영함 순위 기업명 2025년 매출 24년 대비 매출 성장률 2025년 영업이익 24년 대비 영업익 성장률 1 안랩 2,677억 +2.7% 333억 +20.2% 2 시큐아이 1,650억 +6.2% 185억 +12.1% 3 이글루코퍼레이션 1,432억 +28.8% 160억 +163.8% 4 파수 820억 +15.4% 110억 +25.5% 5 윈스 785억 +8.1% 145억 +9.3% 6 파이오링크 656억 +12.6% 54억 +108% 7 SGA솔루션즈 616억 +43.0% 148억 흑자 전환 8 지니언스 540억 +11.2% 95억 +15.4% 9 엑스게이트 481억 +18.5% 37억 +12.1% 10 소프트캠프 259억 +53.4% 29억 흑자 전환 국내 보안업계 성장에는 거대 기업들의 연쇄 보안 사고가 '보안 투자의 절박함'을 일깨운 점이 주효했다. 지난해 SK텔레콤, KT와 같은 대형 통신사부터 롯데카드, 쿠팡 등 국민 다수가 이용하는 서비스에서 발생한 초대형 개인정보 유출 사고는 기업 경영진에게 보안이 단순한 비용이 아닌 생존의 문제라는 강력한 경고음을 울렸다. 이에 따라 네트워크 내부의 위협을 상시 감시하는 엔드포인트 탐지 및 대응(EDR)과 전문화된 보안 운영 서비스인 MDR(관리형 탐지 및 대응) 수요가 폭발하며 시장의 파이를 키웠다. 동시에 AI와 제로트러스트 기술이 구호에 그치지 않고 실제 매출로 연결되기 시작한 점도 성장의 핵심 동력이 됐다. 특히 이글루코퍼레이션은 오랜 기간 축적해온 AI 원천 기술을 보안 관제 솔루션에 성공적으로 이식하며 공공과 민간 시장에서 성과를 냈다. 무엇보다 SGA솔루션즈와 소프트캠프는 국가망보안체계(N2SF) 개편에 맞춰 '신뢰하지 않는' 제로트러스트 모델을 선제적으로 공급하며 대규모 흑자 전환을 이뤄냈다. 네트워크와 데이터 보안 분야의 세대교체 역시 실적을 뒷받침했다. 시큐아이는 클라우드 전환 수요에 맞춘 차세대 방화벽으로 지배력을 높였으며, 파이오링크는 클라우드 최적화 인프라인 차세대 하이퍼컨버지드인프라(HCI, 복잡한 서버·저장장치를 소프트웨어로 묶어 클라우드처럼 편리하게 쓸 수 있게 만든 통합 인프라 솔루션) 사업을 안정적인 수익원으로 안착시켰다. 엑스게이트 또한 양자 가상사설망(VPN)이라는 특화 영역을 선점해 2년 연속 최대 매출을 경신하며 기술 중심 성장의 전형을 보여주었다. 국내 보안 기업들이 이번의 성과를 일시적인 반사이익에 가두지 않고 지속 가능한 '퀀텀점프'로 연결하기 위해서는 내수 시장의 과당 경쟁에서 벗어나 독자적인 기술 생태계를 세계 시장에 이식하는 과감한 승부수가 필요하다. 특히 단순한 규제 순응형 보안을 넘어 글로벌 통합 보안 플랫폼들과 정면 승부할 수 있는 원천 기술력의 확보와 전략적 M&A(인수합병)를 통한 규모의 경제 실현은 이제 선택이 아닌 한국 보안 산업의 명운이 걸린 필수 과제다라는 게 전문가들의 지적이다.
    • 시큐리티
    2026.02.27 15:00
  • [SF보안 리포트] 구글·맨디언트, 中 배후 스파이 조직 ‘UNC2814’ 인프라 무력화... 전 세계 42개국 타격
    [시큐리티팩트=김상규 기자] 구글의 위협 인텔리전스 그룹(GTIG)과 맨디언트(Mandiant)가 업계 파트너들과 공조하여 중국 배후의 사이버 스파이 그룹 ‘UNC2814’의 글로벌 인프라를 무력화하는 데 성공했다고 27일 밝혔다. 이번 작전은 전 세계 정부 기관과 기업을 대상으로 한 광범위한 첩보 활동에 제동을 걸었다는 점에서 큰 의미를 갖는다. 42개국 53건 침해 확인... ‘솔트 타이푼’과는 다른 독자 조직 GTIG의 조사 결과, UNC2814는 전 세계 42개국에서 최소 53건의 시스템 침해 사고를 일으킨 것으로 확인됐다. 이뿐만 아니라 20여 개국에서도 공격을 위한 사전 정찰 및 타겟팅 정황이 추가로 포착되어 이들의 공격 범위가 전 지구적이었음을 방증했다. 특히 주목할 점은 최근 여러 언론에서 통신사 및 정부 기관을 노리는 것으로 보도된 중국 해킹 그룹 ‘솔트 타이푼(Salt Typhoon)’과의 관계다. 일각에서는 이들이 동일 조직일 가능성을 제기했으나, GTIG는 지난 10여 년간의 추적 데이터를 바탕으로 “두 그룹 간의 연관성은 발견되지 않았다”고 못 박았다. GTIG에 따르면 UNC2814는 고유한 전술과 독자적인 인프라를 운용하며, 전혀 다른 유형의 피해자들을 공격하는 독립적인 스파이 그룹이다. 신종 백도어 'GRIDTIDE', 구글 스프레드시트를 명령 서버로 악용 이번 분석이 급물살을 탄 것은 2025년 말, 맨디언트가 UNC2814의 새로운 무기인 'GRIDTIDE' 백도어를 탐지하면서부터다. GRIDTIDE는 감염된 시스템에 장기 상주하기 위해 설계된 정교한 악성코드로, 구글 스프레드시트(Google Sheets)를 명령 및 제어(C2) 서버로 활용하는 기발한 방식을 취했다. 공격자가 구글 스프레드시트에 명령어를 입력하면, 백도어가 이를 읽어와 실행하는 식이다. 이는 구글 서비스 자체의 보안 취약점을 이용한 것이 아니라, 정상적인 SaaS 플랫폼 기능을 악용한 사례다. 일반적인 네트워크 환경에서 구글 스프레드시트와의 통신은 정상적인 업무 트래픽으로 간주되기 때문에 보안 솔루션의 탐지를 교묘히 회피할 수 있었다. 이는 자체 인프라를 구축하는 리스크를 줄이고 기성 클라우드 플랫폼의 신뢰도를 역이용하는 최신 공격 트렌드를 극명하게 보여준다. 정상 서비스를 무기로 쓰는 'Living off the Cloud' 사례들 정상적인 클라우드 서비스를 공격 인프라로 악용하는 사례는 이번이 처음이 아니다. 보안 업계에서는 이를 ‘클라우드 기반의 자급자족(Living off the Cloud)’ 공격이라 부른다. 과거 ‘APT29(코지 베어)’ 등 국가 배후 해킹 그룹은 악성코드를 유포하거나 데이터를 탈취할 때 드롭박스(Dropbox)의 API를 명령 및 제어 채널로 사용하여 기업 방화벽을 무력화한 사례가 있었다. 또한 수많은 정보 탈취형 악성코드들이 텔레그램(Telegram)의 봇 API를 이용해 탈취한 데이터를 전송하기도 한다. 이는 암호화된 메신저 트래픽의 특성상 보안 장비가 그 내용을 들여다보기 어렵다는 점을 노린 전략이다. 아울러 깃허브(GitHub) 저장소를 활용하는 수법도 빈번하게 발생하고 있다. 공격자가 깃허브의 특정 리포지토리에 악성 페이로드를 숨겨두면, 감염된 시스템은 이를 정상적인 소프트웨어 업데이트 과정인 것처럼 내려받아 탐지망을 빠져나가게 된다. 이처럼 신뢰받는 클라우드 서비스를 공격 도구로 변개하는 방식은 현대 사이버 스파이 활동의 핵심 전술로 자리 잡았다. 시사점: "신뢰할 수 있는 트래픽은 더 이상 없다" 이번 UNC2814 무력화 발표는 보안 담당자들에게 세 가지 냉정한 시사점을 던진다. 첫째, '신뢰 기반 탐지'의 종말이다. 과거에는 블랙리스트 IP나 알려진 악성 도메인을 차단하는 것만으로도 상당수의 공격을 막을 수 있었다. 하지만 구글, 드롭박스, 깃허브 등 업무 필수 서비스가 공격 도구가 된 상황에서는 "어디서 오는 트래픽인가"보다 "어떤 행위를 하는가"를 분석하는 행위 기반 탐지(EDR/XDR)의 중요성이 더욱 커졌다. 둘째, 국가 배후 공격 그룹의 세분화와 전문화다. UNC2814와 솔트 타이푼의 사례처럼, 중국 등 특정 국가 배후의 공격 주체들이 서로 다른 목적과 인프라를 가지고 독립적으로 움직이고 있다. 이는 위협 인텔리전스(TI) 공유 시 조직의 특성을 정확히 분류하고 맞춤형 대응 체계를 갖춰야 함을 의미한다. 셋째, SaaS 공급자의 책임과 공조가 핵심이다. 공격자들이 SaaS 플랫폼을 방패로 삼고 있는 만큼, 클라우드 서비스 제공업체(CSP)가 자사 플랫폼이 악용되는지 실시간 모니터링하고 전문 보안 조직과 긴밀히 협력하는 '공동 대응 체계'가 사이버 안보의 필수 요소로 자리 잡았다.
    • 시큐리티
    2026.02.27 11:42
  • [SF보안 리포트] “뚫리면 끝장”... AI 에이전트가 열어준 문으로 ‘4중 갈취’ 랜섬웨어 몰려온다
    [시큐리티팩트=김상규 기자] 인공지능(AI)이 기업의 생산성을 높이는 핵심 동력으로 자리 잡은 2026년, 역설적으로 AI는 사이버 공격자들에게도 가장 강력한 무기가 되고 있다. 특히 자율적으로 업무를 수행하는 ‘AI 에이전트(Agent)’의 확산이 새로운 보안 구멍으로 부상하면서, 기업들의 선제적 방어 체계 구축이 시급하다는 지적이 나왔다. 삼성SDS는 지난 한 해 동안 발생한 국내외 보안 이슈를 정밀 분석해 기업 경영에 심각한 타격을 줄 수 있는 ‘2026년 5대 사이버 보안 위협’을 선정해 발표했다. 삼성SDS가 꼽은 올해의 5대 위협은 ▲AI 기반 보안 위협 ▲랜섬웨어 ▲클라우드 보안 위협 ▲피싱 및 계정 탈취 ▲데이터 보안 위협이다. ‘양날의 검’ 된 AI... 에이전트 권한 남용 주의보 가장 눈에 띄는 대목은 AI 기술의 진화가 가져온 역설이다. 보고서는 특히 스스로 판단하고 업무를 수행하는 ‘AI 에이전트’의 도입 확산을 경계했다. 실제로 글로벌 시장조사기관 가트너(Gartner)는 "2026년까지 생성형 AI를 활용한 공격으로 인해 기업의 사이버 보안 사고가 30% 이상 증가할 것"이라며, 특히 AI 에이전트에 부여된 자율성이 '권한 남용'의 통로가 될 수 있음을 경고한 바 있다. 에이전트가 이메일을 발송하거나 결제를 승인하는 과정에서 공격자의 교묘한 프롬프트 주입(Prompt Injection)에 속아 데이터 유출이나 시스템 손상을 초래할 수 있다는 분석이다. 이에 대한 대안으로 삼성SDS는 AI에 ‘최소 권한’만 부여하는 원칙을 강조했다. 민감한 명령 수행 시에는 ‘AI 가드레일’을 통해 실시간으로 이상 행위를 탐지하고, 반드시 사용자의 최종 승인을 거치는 프로세스를 마련해야 한다. 랜섬웨어의 진화... 고도화된 ‘4중 갈취’ 전략 전통적인 위협인 랜섬웨어는 더욱 악랄해지고 있다. 과거에는 데이터를 암호화하고 복구 비용을 요구하는 수준이었으나, 이제는 데이터 공개 협박, DDoS 공격, 피해 기업의 고객과 파트너까지 압박하는 ‘4중 갈취’ 형태로 진화했다. 단순한 백업만으로는 부족하다는 의미다. 팔로알토 네트웍스(Palo Alto Networks) 역시 이러한 흐름을 경고하고 있다. 이 회사의 최신 위협 보고서에 따르면, 최근 랜섬웨어 공격의 약 70%가 단순 암호화를 넘어선 '다중 갈취' 방식을 채택하고 있다. 특히 공급망 내 파트너사나 고객에게 직접 연락해 심리적 압박을 가하는 방식은 기업의 평판에 치명적인 타격을 입힌다. 삼성SDS는 이에 대한 해법으로 악성코드 실행 전 단계에서의 차단은 물론, 실행 후의 사고 격리와 복구까지 이어지는 단계별 대응 체계 구축을 제시했다. 아울러 임직원 개개인이 공격의 통로가 되지 않도록 정기적인 불시 훈련을 통한 ‘보안 내재화’를 주문했다. 클라우드 설정 오류와 계정 탈취, ‘기본’이 무너진다 기업들의 클라우드 전환이 가속화되면서 설정 오류로 인한 사고도 끊이지 않고 있다. 과도한 스토리지 공유나 잘못된 권한 관리 등 기본적인 실수들이 대형 사고로 이어진다. 글로벌 보안 기업 체크포인트(Check Point)는 "클라우드 보안 사고의 90% 이상이 해킹 기술보다는 사용자의 설정 오류에서 기인한다"고 지적했다. 삼성SDS는 이에 대한 해법으로 CNAPP(클라우드 네이티브 애플리케이션 보호 플랫폼) 도입을 통해 계정 권한이나 리소스 설정의 취약점을 실시간 점검하고 자동 조치하는 체계 구축을 제안했다. 또한 트렌드마이크로(Trend Micro) 등 주요 보안사들이 강조하듯, 챗봇이나 AI 에이전트 등 ‘비인간(Non-human) 계정’에 부여된 접근 권한 역시 다중 인증(MFA)과 복합적인 계정 관리 정책을 통해 엄격하게 통제해야 한다. “전문 인력으론 한계... AI로 맞대응해야” 데이터 보안 측면에서는 단순히 ‘누구’인가를 확인하는 것을 넘어, ‘어떤 행동’을 하는지를 감시하는 ‘행위 기반 접근제어’가 핵심 대안으로 제시됐다. 삼성SDS 장용민 보안사업팀장(상무)은 “AI와 AI 에이전트의 확산은 정교한 피싱과 데이터 유출 등 새로운 위협을 증폭시킬 것”이라며 “기업들은 이제 전문 인력에만 의존하던 보안에서 탈피해, AI 기반 모니터링·탐지·자동 차단 등 조치를 자동화하는 선제적 대응으로 전환해야 한다”고 강조했다. 삼성SDS와 글로벌 보안 업계의 목소리를 종합해 볼 때, 2026년 기업 보안의 성패는 ‘속도와 자동화’에 달려 있다. 공격자들이 AI를 활용해 공격의 빈도와 정교함을 높이는 상황에서 인간 보안 요원의 수동 대응은 한계가 명확하기 때문이다. 글로벌 위협 흐름 속에서 국내 기업들이 생존하기 위해서는 세 가지 핵심 포인트를 점검해야 한다. 첫째, 공격 기반의 방어(AI vs AI) 체계 구축이다. 공격자의 AI에 맞서기 위해 방어 체계 역시 실시간 학습과 자동 차단이 가능한 AI 기반 보안 관제(SOAR, XDR)로 전환해야 한다. 둘째, 권한 관리의 제로 트러스트(Zero Trust) 준수다. '한 번 인증하면 끝'이라는 관성에서 벗어나, 특히 AI 에이전트와 같은 비인간 계정에 대해 '절대 신뢰하지 말고 항상 검증(Never Trust, Always Verify)'하는 원칙을 적용해야 한다. 셋째, 공급망 및 파트너 리스크의 통합 관리다. 우리 회사뿐만 아니라 랜섬웨어의 타깃이 되는 고객사와 파트너사까지 포함하는 전사적 리스크 관리 체계를 구축하고, 사고 발생 시나리오별 대응 프로세스를 사전에 점검해야 한다. 결국 기술적 솔루션보다 중요한 것은 보안을 단순 '비용'이 아닌 '지속 가능한 경영의 필수 조건'으로 인식하는 경영진의 의지다. AI가 문을 여는 시대, 그 문을 지키는 빗장 역시 더 똑똑한 AI여야만 한다. [기사 속 용어 사전] - AI 가드레일(AI Guardrails): AI 시스템이 안전한 범위 내에서 동작하도록 제어하는 기술이다. 유해 콘텐츠 생성이나 권한 밖의 위험 행동을 실시간 감시하고 차단하는 안전장치 역할을 한다. - AI 에이전트(AI Agent): 사용자 개입 없이 스스로 목표를 설정하고 업무를 수행하는 소프트웨어다. 2026년 주요 생산성 도구이나, 탈취 시 공격자의 자율 해킹 도구로 변질될 위험이 있다. - 4중 갈취(Quadruple Extortion): 복구 대가 요구, 데이터 공개 협박, DDoS 공격, 그리고 피해 기업의 파트너사까지 압박하는 최악의 랜섬웨어 수법이다. - 제로 트러스트(Zero Trust): "아무도 믿지 말고 항상 검증하라"는 원칙이다. 내부 사용자라도 접속 시마다 신원을 확인하고 최소 권한만 부여해 피해 확산을 막는다. - CNAPP: 클라우드 설정 오류를 실시간 탐지하고 개발부터 운영까지 전 과정을 보호해 보안 사각지대를 제거하는 통합 플랫폼이다. - SOAR & XDR: 보안 대응 프로세스를 자동화(SOAR)하고, 여러 경로의 데이터를 분석해 정교한 위협을 탐지(XDR)하는 지능형 시스템이다.
    • 시큐리티
    2026.02.26 09:58
  • 넷스카우트, 에이전틱 AI 시대 연다... ‘옴니스 AI 인사이트’로 스마트 데이터 혁신
    [시큐리티팩트=김상규 기자] 글로벌 보안 및 네트워크 가시성 전문 기업 넷스카우트(NETSCOUT)가 통신 서비스 제공업체(CSP)의 디지털 전환을 가속화할 차세대 AI 플랫폼을 선보였다. 넷스카우트는 기본 네트워크 데이터를 에이전틱 AI(Agentic AI, 스스로 목표를 설정하고 판단하여 업무를 수행하는 지능형 AI) 구현에 필수적인 '스마트 데이터'로 변환해 제공하는 ‘옴니스 AI 인사이트(NETSCOUT Omnis™ AI Insights)’를 강화한다고 23일 발표했다. 최근 통신 업계의 화두는 AI 도입 확대다. 맥킨지앤컴퍼니의 조사에 따르면 통신사 경영진의 64%가 AI 도입을 늘리고 있으나, 응답자의 45%는 '데이터 문제'를 가장 큰 장애물로 꼽았다. AI가 제 성능을 발휘하려면 방대하고 복잡한 원시 데이터를 의미 있는 정보로 정제하는 과정이 필수적이기 때문이다. 넷스카우트의 옴니스 AI 인사이트는 패킷(Packet, 네트워크를 통해 전송되는 데이터의 최소 단위) 기반의 고충실도 메타데이터(Metadata, 데이터에 대한 속성 정보)를 중심으로 운영 가시성을 확장한다. 이를 통해 애플리케이션 서비스의 문제를 해결하고 보안 탐지 및 의사결정 자동화를 더욱 정교하게 구현할 수 있도록 설계됐다. 특히 AI 모델이 잘못된 정보를 생성하는 'AI 환각 현상(Hallucination)'을 교정하기 위해 인적 개입을 최소화한 고품질 데이터셋을 제공하여 인텔리전스의 신뢰도를 높인 것이 특징이다. 이번 플랫폼 강화의 핵심 요소는 ‘옴니스 AI 센서’와 ‘옴니스 AI 스트리머’다. 옴니스 AI 센서(Omnis™ AI Sensor)는 5G, 무선 접속 망(RAN), 코어, 모바일 에지 컴퓨팅(MEC) 등 복잡한 통신 생태계 전반에서 실시간 스마트 데이터를 추출한다. 모바일과 고정 네트워크 데이터를 단일 통합 뷰로 분석하여 가입자의 실제 경험과 네트워크 이벤트를 정밀하게 연결한다. 이를 통해 운영팀은 서비스 장애의 근본 원인을 빠르게 분석하고 네트워크 성능이 고객에게 미치는 영향을 명확히 파악할 수 있다. 옴니스 AI 스트리머(Omnis™ AI Streamer)는 방대한 네트워크 텔레메트리(Telemetry, 원격 측정 데이터)를 실행 가능한 인텔리전스로 전환하는 프로그래밍 가능 큐레이션 엔진이다. 복잡한 데이터 스트림에서 고가치 신호만을 추출·집계하여 외부 AI 에이전트나 분석 플랫폼이 즉시 소비할 수 있는 가벼운 데이터 흐름을 생성한다. 특히 이상치 탐지나 컨텍스트(문맥 및 상황 정보) 기반 분류와 같은 머신러닝(ML) 강화 기능을 적용해 대규모 폐쇄 루프(Closed-loop, 피드백을 통해 스스로 교정하는 시스템) 작업을 지원한다. 넷스카우트는 이번 솔루션이 CSP의 운영 구조를 근본적으로 바꿀 것으로 내다보고 있다. 리처드 풀와일러(Richard Fulwiler) 넷스카우트 제품 관리 부문 총괄 이사는 에이전틱 AI가 실제 활동에서 추출된 정교한 다중 도메인 인텔리전스로 구동될 때만 의미 있는 결과를 낼 수 있다고 강조했다. 그는 이번 플랫폼 강화를 통해 데이터 처리 비용과 인프라 요구 사항을 획기적으로 줄이는 동시에 네트워크 보안을 강화함으로써, 고객 서비스 부서를 단순 비용 발생처가 아닌 수익을 보호하고 고객 충성도를 강화하는 전략적 자산으로 전환할 수 있도록 지원할 것이라고 밝혔다. 한편, 넷스카우트는 오는 3월 2일부터 스페인 바르셀로나에서 열리는 '모바일 월드 콩그레스(MWC) 2026'에 참가해 이번 차세대 AI 솔루션의 상세 기능과 실제 적용 사례를 글로벌 시장에 공개할 예정이다.
    • 시큐리티
    2026.02.23 12:03
  • 스마트 홈 해킹을 알리는 9가지 위험 신호
    [시큐리티팩트=김효진 기자] 스마트 전구가 스스로 깜빡이고, 스마트 온도조절기가 한밤중에 설정을 바꾼다. 현관 도어락에는 이유 없는 작동 로그가 남는다. 단순한 기기 오류일까, 아니면 누군가 우리 집 네트워크를 들여다보고 있는 것일까. 미국 공공 IT 전문 매체 거버먼트 테크놀로지의 보안 칼럼 '로먼 온 사이버 보안(Lohrmann on Cybersecurity)'을 운영하는 전문가 댄 로먼(Dan Lohrmann)은 22일(현지 시각) 기고문에서 "스마트 홈의 편리함을 포기할 필요는 없지만, 최소한의 방어선은 반드시 구축해야 한다"고 강조했다. 실제 사례도 충격적이다. 2019년 미국 미시시피주의 한 가정에서는 해커가 가정용 보안 카메라에 침입해 아이 방에서 말을 걸고 음악을 재생하는 사건이 발생했다. 부모는 카메라를 통해 낯선 남성이 아이에게 말을 거는 것을 확인하고 경찰에 신고했다. 사고의 원인은 단순 장난이 아닌, 외부로 노출된 네트워크 비밀번호였다. 이상 신호는 대개 사소하게 시작된다. 그래서 더 위험하다. 스마트 홈이 보내는 '이상 신호' 9가지 1. 예상치 못한 기기 동작 조명 깜빡임, 온도 설정 변경, 도어락 오작동은 가장 직관적인 경고다. 해커는 시스템 접근 가능 여부를 확인하기 위해 의도적으로 교란을 일으키기도 한다. 2. 비정상적인 네트워크 트래픽 평소보다 데이터 사용량이 급증하거나 심야 시간대에 반복적인 접속 기록이 남는다면 라우터(Router·공유기) 로그를 점검해야 한다. 3. 낯선 목소리 스마트 스피커에서 가족이 아닌 음성이 들린다면 즉시 계정 접근 기록과 마이크 설정을 확인해야 한다. 침해된 음성 비서는 도청 도구로 악용될 수 있다. 4. 무단 설정 변경 카메라 각도, 센서 민감도, 알림 설정 등이 바뀌었다면 외부 침입 가능성을 의심해야 한다. 5. 원인 불명의 데이터 전송 사용자의 이용 패턴과 일치하지 않는 데이터 전송은 내부 정보 유출의 단서가 된다. 6. 기기 접근 권한 상실 비밀번호가 변경되었거나, 본인 동의 없이 다중 인증(MFA)이 활성화되었다면 계정 탈취 가능성이 매우 높다. 7. 네트워크 내 낯선 장치의 등장 공유기 연결 목록에 등록되지 않은 생소한 기기가 있다면 내부망 침투 신호일 수 있다. 8. 잦은 소프트웨어 오류 업데이트 실패나 반복적인 버그는 악성 코드 개입 가능성을 시사한다. 9. 본인이 실행하지 않은 변경 알림 설정 변경 확인 이메일을 받았으나 직접 실행한 적이 없다면, 즉각 보안 조치를 취해야 한다. "디지털 성벽을 쌓는 법" — 스마트 홈 보안 5대 원칙 로먼은 스마트 홈 보안을 "디지털 성을 쌓는 일"에 비유하며 다음의 5가지 수칙을 제안했다. △ 네트워크 분리: 라우터의 게스트 네트워크 기능을 활용해 스마트 기기 전용망을 별도로 분리한다. △ 다중 인증 활성화: 비밀번호만으로는 부족하다. 생체 인식이나 OTP 등 추가 인증 단계를 반드시 설정한다. △ 불필요한 기능 비활성화: 아마존 알렉사나 구글 홈의 녹음 기록을 정기적으로 삭제하고, 사용하지 않는 마이크와 카메라는 물리적으로 차단하는 것이 안전하다. △ 자동 업데이트 설정: 최신 보안 패치를 유지하는 것은 가장 기본적이면서 강력한 방어책이다. △ 기본 비밀번호 변경: 제품 출고 시 설정된 초기 비밀번호는 반드시 변경해야 한다. 길고 복잡하며 고유한 비밀번호를 사용하는 것이 원칙이다. 스마트 홈은 이제 선택이 아닌 생활 인프라가 되었다. 하지만 '연결된 편리함'은 필연적으로 '연결된 위험'을 동반한다. 문제는 기술 자체가 아니라 관리에 있다. 외출할 때 집의 문과 창문을 잠그듯, 디지털 세상에서도 네트워크와 계정을 잠가야 한다. 그것이 연결된 시대를 살아가는 현대인의 최소한의 자구책이다.
    • 시큐리티
    2026.02.23 09:57
  • [SF보안 리포트] 앤트로픽, '클로드 코드 시큐리티' 공개... 사이버 보안 시장의 변곡점 되나
    [시큐리티팩트=김상규 기자] 앤트로픽이 '클로드 코드 시큐리티'를 전격 공개하면서 사이버 보안 업계에 큰 충격을 주고 있다. 이는 최근 인공지능(AI) 기술이 기존 소프트웨어 산업의 가치 사슬을 재편할 것이라는 전망에 이어 나온 또 하나의 'AI 디스럽션' 사례로 평가된다. 현재 기업용 소프트웨어(SaaS) 기업들의 주가가 큰 변동성을 보이는 가운데 AI가 코딩과 보안 검토 업무를 상당 부분 대체할 수 있다는 분석이 시장의 공포와 기대를 동시에 자극하고 있다. 전통적인 보안 도구가 코드의 '형태'를 분석했다면, 이제는 AI가 코드의 '의도'를 분석하는 단계로 진입했다. 시장의 즉각적인 반응은 보안 패러다임이 단순한 보조 도구에서 자율적인 '보안 에이전트' 체제로 전환되고 있음을 시사한다. 20일(현지시간) 발표된 이번 기술은 앤트로픽의 최신 모델을 기반으로 취약점 탐지 및 수정 제안을 자동화한다. 단순한 보조 도구를 넘어 보안 업계 전반의 패러다임을 바꿀 것이라는 관측이 지배적이다. 앤트로픽이 발표한 클로드 코드 시큐리티의 핵심 차별점은 '추론(Reasoning)' 역량이다. 기존의 정적 분석 도구(SAST)들이 사전에 정의된 특정 패턴을 대조하여 취약점을 찾아냈다면 클로드는 코드 전체의 맥락과 데이터의 흐름을 인간 보안 전문가와 유사한 방식으로 분석하여 논리적 결함을 식별한다. 앤트로픽 측은 공개 전 테스트를 통해 오픈소스 프로젝트 내에서 500개 이상의 미해결 고위험 취약점을 발견했다고 밝혔다. 이는 복잡한 비즈니스 로직상의 오류나 권한 관리의 구조적 결함을 탐지하는 데 있어 AI 기반 분석이 유효함을 보여주는 수치다. 이 시스템은 애플리케이션 내 구성 요소 간의 복잡한 상호작용을 파악하는 심층 문맥 이해 기능을 갖추고 있다. 또한 탐지된 결함의 유효성을 스스로 재검토하는 다단계 검증 시스템을 통해 오탐(False Positive) 발생률을 낮추는 구조를 취하고 있다. 확인된 취약점에 대해서는 즉시 적용 가능한 형태의 수정 코드를 생성하여 제안한다. 해당 기술의 공개 이후 관련 보안 기업들의 주가는 하락세로 반응했다. 발표 당일 제이프로그(JFrog)의 주가가 24% 급락했으며, 크라우드스트라이크(-6.8%), 옥타(-9.2%), 클라우드플레어(-8%) 등 동반 약세를 보였다. 시장 분석가들은 이번 현상을 두고 상반된 견해를 내놓고 있다. 바클레이스(Barclays) 분석팀은 보고서를 통해 "현재의 주가 하락은 시장의 과도한 우려가 반영된 결과"라고 진단하며, 앤트로픽의 도구가 특정 소스 코드 분석 영역에 국한되어 있음을 지적했다. 반면 스톡스토리(StockStory) 분석팀은 "AI가 자율적으로 보안 패치까지 수행하게 됨에 따라 기존 보안 벤더들의 독점적 지위가 약화될 수 있다"며, 장기적인 가격 결정력 하락 가능성을 경고했다. 미치 애슐리(Mitch Ashley) 푸투럼 그룹 부사장 역시 "보안 리뷰가 개발 주기의 초기 단계에 완전히 통합된 'AI 네이티브 개발 환경'이 본격화될 것"이라고 전망했다. 이번 도구의 등장으로 소프트웨어 개발 생명주기(SDLC) 전반에서 'Shift-Left(보안의 전진 배치)' 경향이 더욱 뚜렷해질 것으로 보인다. 개발 최종 단계가 아닌 터미널 작업 단계에서 실시간 보안 검토가 가능해지기 때문이다. 업계 전문가들은 향후 보안 담당자의 역할이 단순 탐지 업무에서 AI가 제안한 해결책의 적절성을 검토하고 고차원적인 전략을 수립하는 방향으로 재편될 것으로 내다보고 있다. 현재 클로드 코드 시큐리티는 '제한적 연구 프리뷰' 단계로 제공되고 있으며, 앤트로픽의 기업용 요금제 사용자와 주요 오픈소스 관리자들을 중심으로 순차 배포될 예정이다.
    • 시큐리티
    2026.02.21 17:15
  • "내 손안 금고가 털리고 있다"…스마트폰 해킹 알리는 5가지 결정적 신호
    [시큐리티팩트=최석윤 기자] 스마트폰은 이제 단순한 통신 기기가 아니다. 메시지, 사진, 뱅킹 앱, 그리고 각종 인증 코드가 담긴 '디지털 금고'다. 해커들에게 스마트폰이 거부할 수 없는 표적이 되는 이유다. 해커가 스파이웨어를 심거나 피싱을 통해 기기의 통제권을 잡을 때, 그 징후는 대개 사소하고 성가신 문제로 시작된다. 배터리가 뜨거워지거나, 앱이 멈추거나, 예상치 못한 문자가 오는 식이다. 이런 현상을 단순한 기기 노후화나 '잡음'으로 치부하면 결정적인 단서를 놓치게 된다. 하지만 이를 침입의 '증거'로 간주한다면 피해를 막을 수 있다. 20일(현지 시각) FindArticles는 보안 전문가들이 주목하는 5가지 경고 신호와 침해 사고 발생 시 취해야 할 구체적인 조치를 정리했다. 스마트폰 해킹을 알리는 5가지 경고 신호 △ 갑작스러운 배터리 소모와 데이터 급증 스파이웨어나 스토커웨어는 백그라운드에서 오디오, 키 입력, 위치 정보 등을 조용히 수집해 외부 서버로 전송한다. 이 과정에서 기기를 사용하지 않을 때조차 배터리와 모바일 데이터가 빠르게 소모된다. 설정 메뉴의 '배터리 및 데이터 사용량'을 확인했을 때, 메시징 앱이나 단순 유틸리티 앱이 지나치게 많은 자원을 쓰고 있다면 전형적인 해킹 신호다. △ 성능 저하와 원인 모를 과열 간단한 작업이 지연되거나 앱이 이유 없이 강제 종료되고, 주머니 속의 휴대폰이 뜨겁게 느껴진다면 백그라운드 프로세스를 의심해야 한다. 원격 접근 도구(RAT)나 암호화폐 채굴 프로그램, 키로거 등이 시스템 성능을 갉아먹고 있을 가능성이 크다. 안드로이드의 경우 '안전 모드'에서 동작을 비교해보고, 문제가 사라진다면 악성 백그라운드 서비스가 구동 중일 확률이 높다. △ 낯선 앱과 변경된 권한 설정 설치한 적 없는 새 아이콘이 보이거나 브라우저 홈페이지가 바뀌어 있다면 위험 신호다. 특히 '접근성(Accessibility)' 설정이나 '기기 관리자' 권한이 임의로 켜진 것은 매우 심각한 상황이다. 공격자들은 대개 접근성 권한을 악용해 화면의 내용을 읽고 사용자 대신 버튼을 누른다. 설치된 앱 목록을 전수 조사하고, 승인하지 않은 마이크나 SMS 접근 권한은 즉시 차단해야 한다. △ 통신 이상과 SIM 교환(SIM Swapping) 징후 전화가 곧바로 음성사서함으로 넘어가거나, 2단계 인증 코드가 도착하지 않거나, 재부팅 후 갑자기 '서비스 없음' 메시지가 뜬다면 통화 가로채기나 SIM 교환 공격을 의심해야 한다. 많은 통신사가 USSD 코드를 통해 통화 전달 설정을 확인하거나 취소하는 기능을 지원하지만, 반드시 통신사가 공식 발표한 코드만 사용해야 한다. 의심스러운 정황이 있다면 즉시 통신사에 연락해 '포트 아웃(Port-out) PIN'을 설정해 번호 도용을 막아야 한다. △ 본인이 실행하지 않은 계정 보안 알림 구글, 애플, 소셜 미디어 등에서 보내오는 '새 기기 로그인' 알림이나 본인이 요청하지 않은 MFA(다단계 인증) 푸시 알림은 누군가 도난당한 토큰을 사용하고 있다는 신호다. 공격자들은 사용자가 지쳐서 '승인'을 누를 때까지 알림을 보내는 'MFA 피로 공격'을 시도하기도 한다. 이런 알림을 받으면 즉시 비밀번호를 변경하고 다른 기기에서의 활성 세션을 모두 종료해야 한다. 스마트폰 침해가 의심될 때 즉시 취해야 할 조치 △ 연결 차단 후 분류: 우선 비행기 모드를 켜고 Wi-Fi와 블루투스를 모두 비활성화해 데이터 유출을 막는다. 보안 도구를 다운로드할 때만 신뢰할 수 있는 네트워크에 잠시 연결한다. △ 앱 및 권한 감사: 안드로이드는 접근성 및 기기 관리 앱을, 아이폰은 개인정보 보호 설정에서 마이크와 카메라, 로컬 네트워크 권한을 사용하는 앱 목록을 철저히 검토한다. 의심스러운 앱은 삭제하고 권한을 취소한다. △ 패치와 스캔, 그리고 재부팅: 운영체제를 최신 버전으로 업데이트하고 신뢰할 수 있는 모바일 보안 검사기(Google Play Protect 등)를 실행한다. 미국 국가안보국(NSA)은 정기적인 재부팅만으로도 특정 '제로 클릭(Zero-click)' 공격의 지속성을 방해할 수 있다고 권고한다. △ 깨끗한 기기에서 계정 잠금: 해킹된 폰이 아닌 안전한 다른 기기에서 주요 계정의 비밀번호를 변경한다. 가능하면 SMS 인증 대신 물리 보안 키나 인증 앱을 사용하고, 이메일 설정에서 자신도 모르게 설정된 '메일 전달 규칙'이 있는지 확인한다. △ 최후의 수단, 초기화: 중요 자료를 백업한 뒤 공장 초기화를 진행한다. 이때 문제가 발생하기 전 시점의 백업본만 사용해야 하며, 가급적 앱은 공식 스토어에서 새로 설치하는 것이 안전하다. 금융 정보 노출이 의심된다면 은행과 카드사에도 즉시 알려야 한다. 왜 이 신호들에 주목해야 하나? 공격자들이 스마트폰에 집착하는 이유는 명확하다. 스마트폰 하나만 장악하면 비밀번호 재설정 권한, 다단계 인증 코드, 개인적인 대화 기록 등 모든 디지털 자산의 열쇠를 손에 쥐기 때문이다. 버라이즌(Verizon)의 데이터 유출 조사 보고서에 따르면 대부분의 보안 침해는 피싱과 자격 증명 도난에서 시작되며, 모바일 기기는 이러한 공격의 주요 통로로 활용되고 있다. '시티즌 랩(Citizen Lab)'의 연구는 용병 스파이웨어가 얼마나 정교한지 보여주지만, 우리를 위협하는 일상적인 위험은 애드웨어, 스토커웨어, 가짜 뱅킹 앱처럼 훨씬 더 요란하게 흔적을 남긴다. 교훈은 간단하다. 스마트폰이 평소와 다르게 작동한다면 그것은 '오류'가 아니라 '신호'다. 기기에서 보내는 작은 이상 현상을 빠르게 감지하고 조사하는 것만이 치명적인 감염으로 번지는 것을 막을 수 있는 유일한 길이다.
    • 시큐리티
    2026.02.20 13:34
  • 프랑스 경제부 해킹… 120만 개 은행 계좌 정보 털렸다
    [시큐리티팩트=최석윤 기자]프랑스 정부의 국가 은행 계좌 데이터베이스가 해킹당해 약 120만 명의 개인 정보가 유출되는 초유의 사태가 발생했다. 프랑스 경제부는 18일(현지 시각) 공식 성명을 통해 "해커가 도난당한 공무원의 자격 증명을 이용해 국가 은행 계좌 데이터베이스에 무단 접근했으며, 120만 개의 계좌 데이터를 확보한 것으로 확인됐다"고 밝혔다. 프랑스 일간지 르몽드(Le Monde)의 보도에 따르면, 이번 공격은 지난 1월 말부터 시작됐다. 해커는 탈취한 공무원 계정을 이용해 프랑스 내 개설된 모든 계좌 파일 중 일부에 접근했다. 유출된 정보에는 ▲은행 계좌 번호(IBAN 등) ▲계좌 소유주의 성명 및 주소 ▲일부 계좌 소유자의 세금 번호(Personal Tax Number) 등 민감한 개인 정보가 포함된 것으로 알려졌다. 프랑스 공공재정국은 이번 보안 침해에도 불구하고 실제 금융 자산에 대한 직접적인 위협은 제한적이라고 선을 그었다. 당국자는 "시스템 구조상 해커가 계좌 잔액이나 상세 거래 내역에는 접근할 수 없었다"고 설명했다. 경제부는 침입 사실을 감지한 즉시 해당 위협 행위자의 접근을 차단했으며, 추가적인 데이터 삭제나 조작을 막기 위한 긴급 조치를 완료했다고 덧붙였다. 프랑스 정부는 이번 사건과 관련해 형사 고소장을 제출하고, 프랑스 데이터 보호 당국인 CNIL에 해당 사실을 공식 통보했다. 경제부는 이번 해킹으로 영향을 받은 120만 명의 계좌 보유자들에게 수일 내에 개별적으로 피해 사실을 통지할 방침이다. 다만, 공격 주체가 국가 지원을 받는 해킹 그룹인지 혹은 일반 사이버 범죄 조직인지 등 구체적인 범행 동기는 아직 밝혀지지 않았다. 프랑스 공공기관을 겨냥한 사이버 공격은 이번이 처음이 아니다. 지난해 12월에는 국영 우체국인 '라 포스트(La Poste)'가 대규모 공격을 받아 디지털 뱅킹과 온라인 서비스가 중단된 바 있으며, 비슷한 시기 내무부 이메일 서버가 침해되어 경찰 데이터가 노출되는 사고도 발생했다.
    • 시큐리티
    2026.02.19 15:12
  • [SF보안 리포트] 구글 클라우드 “AI, 해커의 날개가 되다”… 북·이란 ‘공격 운영화’ 경고
    [시큐리티팩트=김상규 기자] 구글 클라우드가 13일 최신 보안 동향을 담은 ‘2025년 4분기 AI 위협 보고서(AI Threat Tracker)’를 발표했다. 이번 보고서의 핵심은 인공지능(AI)이 해커들에게 ‘규모의 경제’와 ‘속도’를 제공하며 공격의 패러다임을 완전히 바꿨다는 점이다. 구글 클라우드 보고서에 따르면 이란과 북한 해커들은 생성형 AI를 단순한 보조 도구가 아닌 ‘필수 공격 인프라’로 활용하는 운영화(Operationalized) 단계에 진입했다. 이란의 지원을 받는 APT42는 제미나이(Gemini) 등 생성형 AI를 동원해 타깃의 공식 이메일을 검색하고 비즈니스 파트너를 사칭한다. AI가 만든 정교한 사회 공학적 미끼는 피해자의 의심을 무너뜨리는 핵심 도구가 됐다. 북한 지원을 받는 UNC2970은 방위 산업체를 정밀 타격하고 있다. 이들은 AI로 오픈소스 인텔리전스(OSINT)를 종합해 고가치 표적을 식별하고 채용 담당자로 위장해 접근한다. 이에 더해 크라우드스트라이크(CrowdStrike)가 분석한 보고서를 보면 상황은 더 심각하다. 북한 조직 ‘페이머스 천리마’는 AI 기반 가짜 이력서와 딥페이크 인터뷰를 결합해 작년 한 해에만 320곳 이상의 글로벌 기업 내부망 침투에 성공했다. 구글 측은 이번 보고서에서 AI 모델 자체를 겨냥한 ‘모델 추출(Model Extraction)’ 및 ‘증류(Distillation)’ 공격의 급증을 특별히 강조했다. 이 공격은 정상적인 API 권한을 이용해 모델에 체계적인 질의를 던지고 응답 패턴을 분석하는 방식이다. 이를 통해 AI 모델의 독점적인 추론 논리와 지식재산권(IP)을 그대로 복제한다. 주로 글로벌 민간 기업과 학술 연구자들이 경쟁 모델의 사고 과정을 알아내기 위해 시도하고 있다. 마이크로소프트(MS) 역시 앞서 이러한 공격이 ‘적대적 프롬프트’ 기법과 결합하고 있다고 분석했다. 공격자가 AI를 이용해 보안 가드레일을 자동 해제하거나 낮은 비용으로 핵심 자산을 탈취할 수 있어 기업들의 각별한 주의가 요구된다. 이제 AI는 보안 솔루션을 우회하는 ‘지능형 멀웨어’ 제작에도 적극 도입되고 있다. 구글은 제미나이 API를 호출해 공격 코드를 실시간으로 생성하는 멀웨어 ‘HONESTCUE’를 확인했다. 고정된 코드 패턴이 없어 기존의 정적 분석과 네트워크 탐지망을 손쉽게 우회한다. 암호화폐 거래소를 위장한 피싱 키트 ‘COINBAIT’ 역시 AI 덕분에 제작 속도가 획기적으로 빨라졌다. MS의 데이터에 따르면 AI 기반 피싱은 인간이 직접 만든 것보다 클릭률이 최대 4.5배 높다. 기존 12% 수준이던 클릭률이 54%까지 폭등하며 보안 전문가들조차 속아 넘어가는 실정이다. 해커들은 독자 모델을 개발하기보다 상용 AI를 악용하는 쪽을 택하고 있다고 구글은 분석했다. 다크웹에서 광고되는 ‘Xanthorox’ 같은 맞춤형 AI가 대표적이다. 조사 결과 이는 타사의 상용 API를 기반으로 작동하는 서비스로 드러났다. 이로 인해 공격자들이 타인의 API 키를 탈취하고 도용하는 사례가 급증하고 있다. 이와 관련해 보안 기업 체크포인트(Check Point)는 ‘WormGPT’와 같은 범죄 전용 서비스가 성행하며 ‘범죄의 대중화’가 시작됐다고 경고했다. 초보 해커도 단 몇 분 만에 수준 높은 악성 코드를 제작할 수 있는 환경이 조성된 것이다. 구글 클라우드 보고서가 시사하는 바는 명확하다. AI는 이제 해커들에게 강력한 비대칭 무기가 됐다. 특히 언어와 기술 장벽에 부딪혔던 국가 지원 조직들에게 AI는 완벽한 현지화와 자동화 도구를 제공하고 있다. 이제 보안은 ‘사람 대 사람’이 아닌 ‘AI 대 AI’의 대결이다. 기업들은 AI 모델에 대한 직접 공격에 대비하는 동시에 AI를 활용해 이상 징후를 실시간 탐지하는 ‘예측 방어(Anticipatory Defense)’ 체계로 신속히 전환해야 한다. 기계의 속도로 쏟아지는 공격을 막아낼 수 있는 유일한 방법은 방어 체계 역시 기계의 속도를 갖추는 것뿐이다. ☞ 기사 속 전문용어 풀이 - 모델 추출(Model Extraction): AI 모델에 수많은 질문을 던져 응답 패턴을 분석, 원본 모델의 논리 구조와 지식재산권을 복제하는 공격 기법 - 지능형 멀웨어: 실행 시점에 AI를 통해 코드를 생성하여 기존 보안 탐지 솔루션을 우회하는 변칙적인 악성코드 - 예측 방어(Anticipatory Defense): 사후 대응이 아닌, AI 분석을 통해 공격 징후를 미리 포착하고 선제 차단하는 전략
    • 시큐리티
    2026.02.13 11:47
  • 일본, 전후 80년 안보 문법 바꾼다… 사이버 선제 차단 체제로
    [시큐리티팩트=김효진 기자] 일본이 전후 80년 가까이 유지해 온 안보의 기본 문법을 사이버 영역에서 사실상 바꿨다. 공격을 당한 뒤 수습하는 구조에서 벗어나, 위협 징후 단계에서 차단에 나서는 체계로 방향을 튼 것이다. 일본 정가와 안보 라인에서는 이를 두고 "교리적 전환"이라는 표현이 나온다. 이번 법제 설계에 관여한 기타무라 시게루 전 국가안보보좌관은 12일(현지 시각) 미국 플로리다에서 열린 사이버 안보 행사장에서 사이버뉴스에 "이제는 공격이 현실화된 뒤 대응하는 방식으로는 충분하지 않다"고 말했다. 방산·제조업체 지속적 해킹에 인식 변화 일본이 이 지점까지 오게 된 배경에는 지난 10여 년간 누적된 사건들이 있다. 2015년 일본연금기구 해킹으로 대규모 개인정보가 유출됐고, 방산·제조업체에 대한 지속적 침투가 이어졌다. 암호화폐 거래소 코인체크는 수억 달러 규모의 가상자산을 탈취당했다. 2023년에는 항만 물류 시스템이 랜섬웨어로 마비됐다. 결정적 전환점은 일본 대표 맥주 브랜드 아사히를 겨냥한 공격이었다. 단순 정보 유출이 아니라 주문·물류·콜센터 운영이 동시에 멈추는 형태였다. 일본 안보 당국 내부에서는 이를 "경제 인프라 교란"으로 규정했다. 기업 피해를 넘어 국가 기능 저해로 보는 인식 변화가 시작된 것이다. 이 과정에서 일본 정부는 하나의 결론에 도달했다. 민간 기업에 대한 사이버 공격과 국가에 대한 공격을 분리하기 어렵다는 판단이다. 다카이치 총리, 국가 역량 강화로 밀어붙여 2025년 제정된 일본의 '능동 사이버 방어' 관련 법 체계는 이 인식 변화를 제도화한 결과다. 핵심은 세 가지다. 첫째, 위협 인프라에 대한 사전 식별 및 교란 허용. 공격 실행 이전 단계에서 해외 서버나 중계 인프라를 차단할 수 있는 법적 근거를 마련했다. 둘째, 핵심 산업의 보고 의무화. 운송·통신·금융 등 15개 분야 약 260개 주요 사업자는 침해 징후를 정부에 보고해야 한다. 그동안 존재했던 정부와 산업 간 '침묵의 벽'을 허무는 조치다. 셋째, 기관 간 통합 대응. 경찰청, 정보기관, 자위대 간 정보 공유와 공동 대응 절차를 명문화했다. 사실상 사이버 영역에서 준(準)통합지휘 체계를 구축한 셈이다. 이 변화는 전후 일본 헌법 체계가 유지해 온 '방어 중심' 원칙과 일정 부분 긴장 관계에 놓인다. 하지만 최근 집권한 다카이치 사나에 총리 체제는 이를 국가 역량 강화의 일환으로 밀어붙이고 있다. 정보기관 기능 확대와 대외 정보 협력 강화 역시 병행 추진 중이다. 일본, 동북아 안보 환경과 연관 판단 일본의 사이버 교리 수정은 단순한 기술적 대응이 아니다. 동북아 안보 환경과 직결돼 있다. 대만 해협 긴장 고조, 남중국해에서의 군사적 압박, 그리고 역내 공급망 재편 흐름 속에서 일본은 사이버 공간을 '회색지대 충돌'의 전장으로 인식하고 있다. 일본 안보 당국 내부에서는 미래 분쟁이 물리적 충돌보다 먼저 경제·물류·통신망 교란 형태로 시작될 가능성을 높게 본다. 미사일 이전에 데이터가 날아든다는 것이다. 이 맥락에서 사이버는 더 이상 IT 문제가 아니라 전략 억지의 일부가 됐다. AI 전장 대비… 인간 중심 모델의 한계 일본이 최근 강조하는 또 하나의 축은 인공지능 기반 방어 체계다. 공격 자동화, 자율형 침투, AI 에이전트 협업 공격 가능성에 대비해 방어 역시 자동화·고속화해야 한다는 판단이다. 미국 기업 심스페이스(SimSpace)와 협력해 고도화된 '사이버 레인지' 훈련 환경을 구축하려는 것도 같은 맥락이다. 실제 네트워크를 복제한 환경에서 AI와 인간을 동시에 훈련시키는 방식이다. 다만 일본 측은 최종 책임은 인간에게 있다는 원칙을 분명히 하고 있다. 자율 방어 체계가 과잉 차단이나 오판으로 이어질 경우 외교적·경제적 파장이 클 수 있기 때문이다. 한국도 반도체·배터리·조선 등 표적 일본의 변화는 한국에도 직접적인 함의를 갖는다. 첫째, 기업 공격을 국가안보 범주로 보는 시각 확산. 한국 역시 반도체·배터리·조선 등 전략 산업이 사이버 표적이 되고 있다. 이를 산업 범죄로만 볼 것인지, 국가 위협으로 격상할 것인지 선택의 문제다. 둘째, 사전 교란의 법적 범위. 한국은 아직 해외 인프라에 대한 선제적 차단 권한이 제한적이다. 일본 모델은 논쟁적이지만, 역내 표준 형성에 영향을 줄 가능성이 있다. 셋째, 한미일 협력의 구조 변화. 정보 공유 수준을 넘어, 공동 대응 시나리오와 훈련 체계로 확장될 수 있다. 이는 북한 및 역내 국가와의 사이버 긴장에도 파급을 줄 수 있다. 동북아 안보 지형, 코드‧알고리즘 속도 경쟁 일본의 선택은 분명하다. 공격이 가시화된 뒤 대응하는 '수습 국가'에서, 징후 단계에서 차단하는 '선제 억지 국가'로 이동하겠다는 것이다. 다만 법과 기술의 확장이 곧바로 억지력으로 이어질지는 미지수다. 선제 교란은 외교적 마찰을 동반할 수 있고, AI 기반 방어는 오판 리스크를 안고 있다. 그럼에도 일본은 방향을 틀었다.사이버 공간에서 더 이상 화살을 기다리지 않겠다는 선언이다. 동북아 안보 지형은 이제 물리적 전력뿐 아니라 코드와 알고리즘의 속도 경쟁으로 재편되고 있다. 한국 역시 그 흐름 바깥에 서 있기는 어렵다.
    • 시큐리티
    2026.02.13 11:17
  • 팔로알토 네트웍스, 250억 달러에 사이버아크 인수 완료…AI 시대 ‘아이덴티티 보안’ 혁신
    [시큐리티팩트=김상규 기자] 글로벌 AI 사이버보안 선도 기업 팔로알토 네트웍스(Palo Alto Networks)는 사이버아크(CyberArk) 인수를 최종 완료했다고 11일(현지시간) 발표했다. 인수 금액은 약 250억 달러(한화 약 33조 원) 규모로, 이는 순수 보안 기업 인수 사례 중 역대 최대 수준이다. 이번 인수로 팔로알토 네트웍스는 ‘아이덴티티 보안(Identity Security)’을 자사 플랫폼화 전략의 핵심 축으로 구축하게 됐다. 특히 인간과 머신은 물론, 최근 급증하는 ‘AI 에이전트(Agentic Identity)’까지 통합 보호하는 강력한 보안 역량을 확보했다는 평가다. 사이버아크의 아이덴티티 보안 플랫폼은 기업 전반의 모든 유형의 계정을 보호하도록 설계됐다. 클라우드와 AI 확산으로 아이덴티티는 현대 기업 보안의 핵심 기반이 되었으나, 권한이 집중된 계정의 급증은 공격자들에게 치명적인 침투 경로를 제공하고 있다. 실제 보안 리포트에 따르면 현재 머신 아이덴티티는 인간 아이덴티티보다 80배 이상 많으며, 조직의 약 90%가 이미 아이덴티티 중심 공격(Identity-centric Breach)을 경험한 것으로 나타났다. 특히 약 75%의 조직이 여전히 권한 부여 모델을 사용하고 있어 침해 사고에 취약한 실정이다. 팔로알토 네트웍스는 이번 인수를 통해 기존 특권 접근 관리(PAM·Privileged Access Management)의 범위를 기업 전반의 모든 아이덴티티로 확대한다. 이를 통해 상시 권한을 최소화하고 공격자의 내부 이동(Lateral Movement)을 제한함으로써 침해 대응 시간을 최대 80%까지 단축할 수 있을 것으로 기대된다. 니케시 아로라(Nikesh Arora) 팔로알토 네트웍스 회장 겸 CEO는 “AI 에이전트가 확산되는 시대에는 인간과 기계, 에이전트 등 모든 아이덴티티를 보호하는 새로운 보안 패러다임이 필수적”이라며 “이번 인수를 통해 고객들은 하이브리드 클라우드 전반의 특권 접근을 단일 플랫폼에서 통합 관리할 수 있게 될 것”이라고 강조했다. 맷 코헨(Matt Cohen) 사이버아크 CEO 역시 “양사의 기술적 결합은 현대 기업을 위한 새로운 사이버 보안 기준을 제시할 것”이라며 “아이덴티티 기반 침해를 효과적으로 차단할 강력한 보안 솔루션을 제공하겠다”고 밝혔다. 한편 팔로알토 네트웍스는 이스라엘의 글로벌 사이버보안 허브 위상을 고려해 텔아비브 증권거래소(TASE) 이중 상장을 추진한다. 상장 티커(Ticker)는 사이버아크의 유산을 계승하는 의미에서 ‘CYBR’을 채택할 계획이다. 또한 실리콘밸리 외 최대 규모인 이스라엘 R&D 센터를 글로벌 AI 시대 보안 혁신의 핵심 거점으로 지속 확대할 방침이다.
    • 시큐리티
    2026.02.12 12:38
  • 백오피스 공급망 뚫렸다… 콘듀언트 해킹, 미 전역 2500만 명 영향
    [시큐리티팩트=최석윤 기자] 미국 비즈니스 서비스 기업 콘듀언트(Conduent)에서 발생한 대규모 사이버 침해로 최소 2500만 명의 개인정보가 노출된 것으로 확인됐다. 이는 초기 발표보다 훨씬 확대된 수치다. 볼보 그룹 노스 아메리카는 이번 침해로 약 1만6,991명의 직원 데이터가 영향을 받았다고 메인 주 법무장관실에 신고했다. 노출된 정보에는 이름, 주소, 생년월일, 사회보장번호(SSN), 건강 및 보험 관련 정보 등이 포함된 것으로 파악됐다. 11일(현지 시각) 시큐리티위크(SecurityWeek) 보도에 따르면, 텍사스에서만 약 1500만 명이 영향을 받은 것으로 집계됐으며(초기 400만 명에서 대폭 증가), 오리건주에서도 1000만 명 이상이 피해 대상에 포함됐다. 콘듀언트는 2025년 4월, 1월에 발생한 사이버 공격으로 이름과 사회보장번호 등 개인정보가 탈취됐다고 공개했다. 이후 2025년 11월에는 총 피해 규모가 1000만 명을 넘는다고 밝혔으나, 추가 조사 결과 현재까지 최소 2500만 명으로 확대됐다. 회사 측에 따르면 공격자는 2024년 10월 21일부터 2025년 1월 13일까지 네트워크에 접근해 정보를 빼낸 것으로 확인됐다. 2025년 2월에는 ‘Safepay’ 랜섬웨어 그룹이 공격 배후를 자처했다. 이번 공격은 여러 미국 주 정부 기관의 서비스 중단으로 처음 드러났다. 위스콘신과 오클라호마는 결제 및 고객 지원 서비스에 장애가 발생했다고 밝힌 바 있다. 콘듀언트는 영향을 받은 개인들에게 통지서를 발송했으며, 무료 신원 보호 서비스를 제공하고 있다고 밝혔다. 볼보 측은 침해 발생 수개월 뒤인 2026년 1월에야 해당 사실을 인지했다고 설명했다. 통지문에서 콘듀언트는 “현재까지 정보 오용 정황은 확인되지 않았으나, 개인 보호를 위해 필요한 조치를 안내한다”고 밝혔다. ■ 미니 해설 | 왜 피해 규모가 계속 늘어나나 이번 사건은 ▲장기간(약 3개월) 네트워크 잠입 ▲다수의 공공·민간 고객사 데이터 동시 노출 ▲외주 백오피스 서비스 구조라는 세 가지 특징을 보인다. 콘듀언트는 인쇄·우편실·문서 처리·결제 무결성 등 다양한 행정·백오피스 서비스를 대행하는 기업이다. 이 같은 구조에서는 한 차례 침해가 다수 기관·기업 고객의 데이터로 연쇄 확산될 수 있다. 피해 규모가 초기 발표보다 크게 증가한 배경에는 △침해 범위의 사후 정밀 분석 △주별 통지 요건 차이 △고객사별 개별 신고 일정 차이 등이 영향을 미친 것으로 보인다. 특히 사회보장번호와 건강·보험 정보가 포함된 점은 2차 피해 가능성을 높이는 요소로 평가된다. 랜섬웨어 조직이 배후를 자처한 만큼, 데이터 유출과 금전 요구가 병행됐을 가능성도 배제할 수 없다. 이번 사례는 대형 아웃소싱·백오피스 서비스 업체가 공격받을 경우, 공급망 전반으로 피해가 확산될 수 있음을 다시 한번 보여준 사건으로 분석된다.
    • 시큐리티
    2026.02.12 10:16
12345678910마지막
비밀번호 :