공격자는 새로운 길보다 ‘열려 있는 통로’를 노렸다…카스퍼스키가 본 2025년 사이버 침해
||2026.06.01
외부 노출 애플리케이션·유효 계정·신뢰관계가 침투 경로 80% 이상 차지
협력사·IT 통합업체 경유 공격 증가…제3자 접근 통제가 핵심 과제로
절반은 하루 안에 끝났지만, 장기 침해는 평균 108시간 이어져
카스퍼스키가 1일 2025년 글로벌 사이버 보안 사고 데이터를 분석한 ‘사이버 세계 분석(Anatomy of a Cyber World)’ 보고서를 발표했다. 보고서가 주목한 지점은 공격 기법의 다양성보다 실제 침해가 반복적으로 발생하는 경로의 집중도다. 공격자들은 완전히 새로운 수단을 찾기보다 외부에 노출된 애플리케이션, 정상 계정, 협력사와 파트너 관계 등 기업 운영 과정에서 이미 열려 있는 접점을 집중적으로 파고든 것으로 나타났다.
보고서에 따르면 2025년 주요 초기 침투 경로는 전년과 유사한 흐름을 보였지만, 상위 공격 방식이 전체 사고에서 차지하는 비중은 80%를 넘어섰다. 가장 큰 비중을 차지한 것은 외부에 노출된 애플리케이션을 겨냥한 공격으로 43.7%에 달했다. 유효한 계정을 악용한 침투는 25.4%를 기록했다. 협력사나 파트너를 통한 신뢰관계 기반 공격도 12.7%에서 15.5%로 늘었다. 기업 보안의 약한 고리가 내부 시스템에만 있는 것이 아니라 외부와 연결된 운영 구조 전반으로 확대되고 있다는 의미다.
이번 분석은 카스퍼스키 MDR, 인시던트 대응, 침해 평가, SOC 컨설팅을 통해 2025년 수집된 사고 데이터를 바탕으로 이뤄졌다. 보고서는 공격자의 전술·기술·도구와 함께 사고 유형, 지역·산업별 분포를 함께 살폈다. 특히 지난 7년간 상위 3개 초기 공격 벡터가 비교적 안정적으로 유지됐다는 점도 눈에 띈다. 유효 계정과 외부 노출 애플리케이션 취약점 공격은 꾸준히 핵심 침투 경로로 남아 있었고, 과거 주요 경로였던 악성 이메일은 2021년 이후 신뢰관계 기반 공격에 밀려났다. 신뢰관계 기반 공격은 2023년부터 상위 3개 공격 벡터에 포함됐다.
문제는 이들 경로가 단독으로 작동하지 않는다는 점이다. 보고서는 공격자가 하나의 접점을 뚫은 뒤 다른 경로와 결합해 침해 범위를 넓히는 사례가 적지 않다고 분석했다. 예컨대 서비스 제공업체나 IT 통합업체가 먼저 침해된 뒤, 이들과 연결된 고객사 시스템으로 공격이 확산되는 방식이다. 중소 규모 서비스 제공업체의 경우 전담 보안 인력과 자원이 충분하지 않은 경우가 많아 위험이 커질 수 있다. 회계 소프트웨어 운영, 웹사이트 관리, 원격 유지보수 같은 업무 접점이 고객사 내부망으로 이어질 수 있기 때문이다.
공격 지속 시간에서도 차이가 뚜렷했다. 전체 사고의 50.9%는 하루 안에 종료되는 신속 공격으로 분류됐다. 이 유형은 대부분 파일 암호화로 이어졌다. 반면 33%는 장기 공격으로, 평균 지속 시간이 108시간에 달했다. 이 경우 단순 암호화에 그치지 않고 지속성 메커니즘 설치, 액티브 디렉토리 침해, 데이터 유출까지 동반됐다. 나머지 16.1%는 혼합형으로 나타났다. 초기에는 단기 공격처럼 보이지만, 이후 악성 행위가 지연돼 전체 공격 기간이 약 19일까지 늘어나는 특징을 보였다.
카스퍼스키는 이런 흐름이 사후 대응 중심 보안 체계의 한계를 보여준다고 봤다. 콘스탄틴 사프로노프 카스퍼스키 글로벌 긴급 대응팀 책임자는 다단계 공격이 정교해지는 상황에서는 실시간 위협 모니터링과 지속적 탐지를 운영 전반에 결합해야 한다고 강조했다. 그는 신속 침입과 장기 침해에 모두 대응하기 위해 적시 패치, 다중요소인증, 제3자 접근 통제 강화가 중요하다고 설명했다.
국내 기업 환경에 대한 경고도 나왔다. 이효은 카스퍼스키 한국지사장은 국내 사이버 위협이 복잡해지고 있으며, 협력사 취약점과 외부 연계 구조에서 발생하는 위험이 커지고 있다고 짚었다. 그는 기업들이 기본적인 시스템 방어에는 집중하면서도 제3자 협력업체와의 관계에서 발생하는 잠재 리스크를 놓치는 경우가 많다고 지적했다. 이에 따라 국내 기업은 외부 접근 관리, 내부 위협 탐지 체계, 업계 차원의 보안 협력을 함께 강화해야 한다는 설명이다.
카스퍼스키는 대응 방안으로 전문가 기반 탐지와 인시던트 대응의 결합, SOC 컨설팅을 통한 보안 운영 체계 점검, 통합형 자동화 보안 솔루션 도입을 제시했다. MDR과 인시던트 대응을 연계하면 위협 식별부터 분석, 대응, 복구까지 사고 전 과정을 다룰 수 있고, SOC 컨설팅은 조직의 보안 프로세스와 기술 체계를 최신 위협 환경에 맞게 정렬하는 데 초점을 둔다. 카스퍼스키 넥스트 XDR 익스퍼트와 같은 통합형 솔루션은 다양한 데이터 소스를 연결하고 머신러닝 기반 탐지를 통해 자동 대응 속도를 높이는 방식으로 활용될 수 있다.
