한국정보기술진흥원
한국정보기술신문
thumbnail

정보보안 ·

2024년 사이버 공격 지도, 2025년 경계할 지뢰밭을 그리다

발행일
읽는 시간3분 9초

스마트폰 결제부터 의료 기록까지 모든 일상이 '데이터 줄'로 엮인 시대다. 이 줄을 노리는 전자 도둑을 막는 일이 바로 정보보안이다. 해커는 취약한 소프트웨어 틈을 찾아 들어와 파일을 암호화(랜섬웨어)하거나 고객 정보를 빼내 돈을 요구한다. 2024년은 "디지털 빈집털이"가 산업·정부·개인 할 것 없이 전방위로 일어났다. 새 공격 기법과 대담한 공급망 침투가 잇달아 터지며 "보안은 선택이 아닌 생존"임을 재확인시켰다. 일반 소비자에게도 영향은 직접적이었다. 온라인 영화표를 사려다 유출된 카드정보를 걱정해야 했고, 약국 청구 시스템이 멈추자 진료비 청구마저 지연됐다.

'공급망'이 뚫렸다: 코드 한 줄의 반란

image.png
CVE-2024-3094 Detail, nvd.nist.gov 제공

XZ Utils 백도어(CVE-2024-3094)는 2024년 3월 오픈소스 압축 라이브러리에 악성 코드가 숨어-들어간 사건이다. 공격자는 2년간 정상 기여자로 위장해 패치를 심어 놓고, 리눅스 배포판에 채택되길 기다렸다.

만약 그 버전이 대중 OS에 정식 배포됐다면, SSH 인증 우회를 통해 루트 권한을 탈취할 수 있었다. 전문가들은 "Log4Shell 이후 최악의 공급망 위협"으로 평가했다.

Polyfill.io 도메인 탈취도 6월 파장을 일으켰다. 수십만 웹사이트가 자바스크립트 호환성 스크립트를 외부 CDN에서 불러오는데, 도메인이 제3자에 매각되며 악성 광고·도박 사이트로 리디렉션이 발생했다.

두 사건은 "내 코드가 아닌 코드"를 가져다 쓰는 현대 개발 관행이 어떤 폭발력을 낳을 수 있는지 보여줬다.

랜섬웨어, 돈줄을 '정밀 저격'하다

image.png
CVE-2024-1709 Detail, nvd.nist.gov 제공

2월 미국 Change Healthcare 결제 허브가 랜섬웨어 'ALPHV/BlackCat'에 마비됐다. 병원·약국 7만 곳 이상의 청구 시스템이 멈췄고, 복구 비용은 10월 기준 24억 달러에 육박했다.

보건 당국은 "환자 치료 지연 자체가 인질"이라며 사이버 테러 위험성을 경고했다.

랜섬 조직은 단순 파일 암호화를 넘어 "데이터 유출+시스템 파괴"를 동시 강행해 협상력을 높였다.

CISA·FBI 합동 분석에 따르면 Black Basta 등은 2월부터 원격제어 솔루션 ConnectWise ScreenConnect의 인증 우회 취약점(CVE-2024-1709)을 악용해 첫 진입에 성공했다.

이처럼 경영·의료 핵심 서비스를 겨냥한 '정밀 저격'은 2025년에도 계속될 것으로 보인다.

클라우드와 국가급 해커: 하늘 위의 난투

1월, 러시아 APT 'Midnight Blizzard'는 마이크로소프트 엔지니어 전자우편 계정에 침투해 일부 소스코드 레포지터리를 열람했다. 회사 자체조사 결과가 3월 공개되며 "이메일·로그 자격증명 재사용" 문제점이 드러났다.

클라우드 공급자-정부기관-기업 메일이 한 줄로 연결돼 있어 2차 피해 범위는 훨씬 넓었다.

5월에는 Snowflake 데이터 웨어하우스 계정 탈취로, Ticketmaster 고객 5억 건 정보가 다크웹에 올라왔다. 해커들은 "개발자 서비스 계정에 MFA가 없었다"고 주장했다. CM Alliance

전문가들은 "IaaS/PaaS 내부에 대한 맹신은 금물"이라며, 클라우드 내부 '제로 트러스트' 구성이 필수라고 지적한다.

특히 대형 공급자 계정-키 관리 미흡이 2025년 최대 리스크로 꼽힌다.

제로데이·VPN·엣지 장비: 외곽부터 무너졌다

image.png
CISA 주간 보고서 2024년 2월 19일, cisa.gov 제공

2월, Rapid7은 ScreenConnect 취약점을 "공격 난이도 낮고 파급력 치명적"이라 분석하며 즉시 패치를 권고했다. 하루 만에 탐지된 인터넷 노출 인스턴스가 수천 대에 달했다.

같은 달 CISA 주간 보고서에는 Check Point, Palo Alto, Cisco ASA 등 네트워크 경계 장비 다수에 새로운 고위험 CVE가 추가됐다. 엣지 장비가 '편리한 표적'임을 재확인한 셈이다.

보안 연구진은 "VPN·방화벽이 곧 내부망 열쇠가 되는 구조"라며, 패치 관리와 다단계 인증(MFA) 적용을 최우선 수칙으로 제시한다.

중소기업이라도 RDP·SSH 기본 포트 개방은 자살 행위에 가깝다. "공격 자동화" 덕분에 수분 내 침투가 현실화됐기 때문이다.

2025년에는 OT(운영기술)-IoT 접점이 늘면서 이러한 엣지 장비 취약점이 생산설비 정지로 이어질 가능성이 높다.

2025년 대비 체크리스트: 5대 우선 과제

  1. 규제 폭풍: 포레스터는 2025년에 "소비자 데이터 보호 강화를 위한 규제 벌금이 기업 손실의 주원인이 된다"고 전망한다. EU는 NIS2·DORA 이행을, 미국은 국가사이버전략 후속 규정 마련을 예고했다.

  2. 사물인터넷 대규모 사고: 같은 보고서는 "하나의 IoT 취약점이 대량 기기 중단을 초래할 최초의 '메가급' 사건이 2025년에 터질 것"이라 경고한다.

  3. AI-기반 피싱·딥페이크: 트렌드마이크로는 생성형 AI를 이용한 맞춤형 음성·영상 사칭이 본격화돼 "인간 검증 절차" 없이는 내부 승인-결제 시스템이 무력화될 수 있다고 내다본다.

  4. 하이브리드 멀티궤도 위성 통신 보안: 2024년부터 가동된 저궤도-정지궤도 혼합 통신망이 해상·항공 인터넷을 뒤덮으면서, 우주 기반 인프라에 대한 첫 대규모 DDoS 실험도 점쳐진다. 관련 장비 펌웨어 서명 확인이 필요하다.

  5. 양자 대비 암호(재)점검: 가트너는 2025년 주요 기술 트렌드로 '포스트-양자 암호화 전환' 가속을 지목한다. 기업은 장기 보존 데이터부터 알고리즘 전환 로드맵을 짜야 한다. 가트너

이 다섯 가지는 "사고 이후 대응"이 아닌 "사전 차단" 전략을 요구한다. 패치 라거(취약점 누적), 기본 MFA 부재, 과도한 권한 부여부터 줄여야 한다.

결국 2024년 사건들은 같은 교훈을 남긴다. "누가 언제 노크할지는 알 수 없지만, 문이 잠겨 있으면 들키더라도 털리지 않는다." 2025년, 우리의 데이터 금고는 안에서부터 단단히 걸어 잠가야 한다.

한국정보기술신문 정보보안분과 최준용 기자 news@kitpa.org