카스퍼스키, ‘사이버 세계 분석’ 보고서 발표...주요 침투 방식이 전체 공격 중에 80% 이상으로 확대
카스퍼스키(지사장 이효은)는 6월 1일, 2025년에 발생한 글로벌 사이버 보안 사고 데이터를 심층 분석한 ‘사이버 세계 분석(Anatomy of a Cyber World)’ 보고서를 발표했다.
업체 측에 따르면, 2025년 주요 초기 공격 경로는 2024년과 유사한 양상을 보였으나, 이들 주요 침투 방식이 전체 공격에서 차지하는 비중은 80% 이상으로 확대됐다. 구체적으로 살펴보면 외부에 노출된 애플리케이션을 통한 공격이 43.7%로 가장 큰 비중을 차지했으며, 협력사나 파트너를 통한 신뢰 관계 기반 공격은 12.7%에서 15.5%로 증가했다. 또한 정상 유효 계정을 악용한 침투도 25.4%를 기록했다. 이는 다양한 공격 기법이 존재함에도 불구하고, 실제로는 몇 가지 핵심 경로에 공격이 집중되고 있음을 의미한다.
‘사이버 세계 분석(Anatomy of a Cyber World)’ 보고서는 카스퍼스키 MDR(Kaspersky Managed Detection and Response), 인시던트 대응(Kaspersky Incident Response), 침해 평가(Kaspersky Compromise Assessment), SOC 컨설팅(Kaspersky SOC Consulting)을 통해 2025년에 수집된 사고 데이터를 기반으로 한 심층 글로벌 분석 보고서다. 보고서는 공격자의 전술·기술·도구(TTPs)와 함께 탐지된 사고의 특성 및 지역·산업별 분포를 분석했다.
카스퍼스키 인시던트 대응(Kaspersky Incident Response) 데이터에 따르면, 지난 7년간 상위 3개 초기 공격 벡터는 비교적 안정적으로 유지되어 왔으며 큰 변화는 없었다. 유효 계정과 외부 노출 애플리케이션 취약점 공격은 지속적으로 가장 주요한 침투 경로로 나타났다. 세 번째 순위는 시기별로 변동이 있었는데, 과거 주요 벡터였던 악성 이메일은 2021년 처음 등장한 신뢰 관계에 의해 대체되었고, 2023년 TOP 3에 진입했다고 업체 측은 전했다.
2025년 기준 주요 공격 벡터 분포는 다음과 같다.
이러한 공격 벡터들은 단일 경로가 아닌 연쇄적인 공격 체인 내에서 상호 연결되는 경우가 많다. 예를 들어, 신뢰 관계를 통해 침해된 조직은 종종 외부 노출 애플리케이션 취약점 공격을 통해 먼저 침투된 사례가 확인된다는 것이다.
최근 공격 사례에서는 공격자가 서비스 제공업체나 IT 통합업체를 먼저 공격한 뒤, 이를 통해 고객사에 접근하는 방식이 증가하고 있다. 특히 다수의 중소 서비스 제공업체는 전담 사이버 보안 역량과 자원이 부족해 이러한 문제를 더욱 심화시키고 있다. 이들이 회계 소프트웨어나 웹사이트를 운영하는 과정에서 침해가 발생할 경우, 원격 접근을 악용해 고객사의 시스템까지 확산될 수 있다는 설명이다.
공격의 지속 시간과 영향도를 기준으로 분석한 결과, 전체 공격의 과반(50.9%)은 하루 이내에 종료되는 신속 공격으로 나타났으며, 대부분 파일 암호화로 이어졌다. 반면 33%는 평균 108시간에 달하는 장기 공격으로, 단순 암호화를 넘어 지속성 메커니즘 설치, 액티브 디렉토리 침해, 데이터 유출까지 동반됐다. 나머지 16.1%는 혼합형으로, 초기에는 단기 공격처럼 보이지만 이후 악성 행위까지 상당한 지연이 발생해 전체 공격 기간이 약 19일로 확장되는 특징을 보였다.
카스퍼스키 콘스탄틴 사프로노프 글로벌 긴급 대응팀(Global Emergency Response Team) 책임자는 “공격자들이 점점 더 정교한 다단계 공격을 수행하는 상황에서, 단순 사후 대응 방식으로는 효과적인 방어가 어렵다”며, “실시간 위협 모니터링과 지속적 탐지를 운영 전반에 통합한 선제적 보안 체계가 필요하다”고 밝혔다. 이어, “신속 침입과 장기 침해 모두에 대응하기 위해서는 적시 패치, 다중요소인증 적용, 제3자 접근 통제 강화가 가장 중요하다”라고 강조했다.
카스퍼스키 이효은 한국지사장은 “최근 국내 사이버 위협 환경은 점점 더 복잡해지고 있으며, 협력사 취약점과 외부 연계 구조에서 발생하는 위험이 증가하고 있다”며, “많은 기업들이 기본적인 시스템 방어에 집중하는 반면, 제3자 협력업체와의 관계에서 발생하는 잠재적 리스크를 간과하는 경우가 많다”고 밝혔다. 이어, “국내 기업은 수동적 대응에서 벗어나 전체 주기에서 선제적으로 대응하는 보안 체계로 전환하고, 외부 접근 관리 강화, 내부 위협 탐지 체계 고도화, 업계 전반의 보안 협력 확대를 통해 고도화된 표적 공격에 대응해야 한다”라고 강조했다.
카스퍼스키는 정교한 공격에 대한 대응 역량을 강화할 수 있도록 다음과 같은 권장 사항을 제시했다.
카스퍼스키 MDR(Kaspersky Managed Detection and Response)을 통한 전문가 기반 탐지와 카스퍼스키 인시던트 대응(Kaspersky Incident Response)을 결합해 보안 사고에 대한 정밀 분석 수행하는 것이 필요하다. 해당 서비스는 24시간 모니터링과 함께 위협 식별부터 대응 및 복구까지 전 과정을 지원한다.
또한, 카스퍼스키 SOC 컨설팅(Kaspersky SOC Consulting)을 통해 최신 위협 환경에 맞춰 내부 프로세스와 기술 체계를 정렬하고, 신규 SOC 구축 또는 기존 SOC 성숙도 평가 및 탐지·대응 역량 강화 수행해야 한다.
이와 함께 카스퍼스키 넥스트 XDR 익스퍼트(Kaspersky Next XDR Expert)와 같은 통합형 자동화 보안 솔루션을 도입해 다양한 데이터 소스를 통합·연계하고 머신러닝(ML) 기반 탐지를 통해 신속한 자동 대응 구현해야 한다고 업체 측은 전했다.
<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>
