AI 공격 도구, 다크웹서 일반 SW처럼 판매
랜섬웨어 피해 전년 대비 389% 급증... 제조·서비스·소매업 타격
[보안뉴스 강현주 기자] 2025년 한 해동안 취약점 공개 후 평균 공격 시간이 전년 4.76일에서 24시간~48시간으로 대폭 단축됐다. AI 공격 도구가 다크웹에서 일반 소프트웨어처럼 판매되는 등 해킹 진입 장벽이 낮아졌다. 랜섬웨어 피해는 전년대비 5배 가까이 증가했다.
6일 글로벌 네트워크 보안 융합 솔루션 기업 포티넷(CEO 켄 지)은 ‘2026 글로벌 위협 환경 보고서’를 발표했다.
2025년 사이버 위협 동향을 종합 분석한 이번 보고서는 사이버 범죄가 개별 캠페인이 아닌 하나의 ‘산업형 시스템’으로 진화했음을 보여준다. 포티넷에 따르면 전 세계에서 전년 대비 25% 증가한 약 1219억 건의 익스플로잇(exploit, 취약점을 이용한 침투) 시도가 발생했다. 랜섬웨어 피해는 전년 대비 389% 증가한 7831건으로 집계됐다. 악성 행위자들은 공격을 자동으로 수행하는 ‘섀도우 에이전트’ 를 활용해 공격 개시까지의 시간을 단축하고 있다.
포티넷의 위협 인텔리전스 기관인 포티가드 랩스는 취약점 공개 후 최초 공격 시도까지 걸리는 시간이 평균 24~48시간으로 단축됐음을 확인했다. 전년 평균 4.76일이었던 것과 비교해 크게 줄어든 수치다. 실제로 원격 코드 실행(RCE) 취약점인 ‘리액트2셸’(React2Shell) 취약점은 공개 직후 수 시간 만에 공격이 시도됐다.
지속적 위협 노출 관리(CTEM) 솔루션인 포티레콘 인텔리전스가 집계한 2025년 전 세계 랜섬웨어 피해 사례는 7831건으로, 전년도 약 1600건 대비 389% 증가했다. 웜GPT(WormGPT) 등 AI 기반 범죄 서비스 키트의 확산이 주요 배경으로 꼽힌다. 피해가 가장 집중된 업종은 제조업(1284건), 비즈니스 서비스(824건), 소매업(682건) 순이었다.
클라우드 보안 플랫폼 포티CNAPP 인텔리전스는 2025년 클라우드 침해 사고의 대부분이 인프라 취약점이 아닌 탈취·노출된 자격증명에서 비롯됐음을 확인했다. 유효한 계정 정보만 확보되면 멀웨어나 별도 취약점 없이도 클라우드 환경에 접근할 수 있기 때문이다. 병원·의원 및 소매 업종이 1순위 표적으로 지목됐으며, 대규모 계정 관리 환경과 복잡한 클라우드 연동 구조가 주요 요인으로 분석됐다.
포티레콘 인텔리전스가 다크웹에서 포착한 AI 기반 공격 도구들은 일반 소프트웨어처럼 서비스 형태로 광고·유통되고 있다. 대표적으로 ‘헥스스트라이크(HexStrike) AI┖는 공격 대상 탐색과 침투 경로 설계를 자동화하는 도구다. ‘브루트포스(’BruteForce) AI’는 AI를 활용해 웹 양식을 분석한 뒤 멀티스레드 방식의 대량 자동 공격을 수행한다. ┖웜GPT’나 ‘프로드(Fraud)GPT┖의 강화 버전도 함께 유통되고 있다. 이러한 도구들은 숙련도가 낮은 공격자의 기술 요건을 낮추고 공격 속도를 높인다.
포티넷의 방화벽 솔루션인 포티게이트 침입 방지 시스템(IPS) 텔레메트리는 무차별 대입 시도가 전년 대비 22% 감소한 것을 확인했다. 무차별 대입이란 아이디·비밀번호 조합을 대량으로 시도해 계정 정보를 탈취하는 방식이다. 시도 횟수는 줄었지만 위협이 감소한 것이 아니라 효율화된 것으로, 공격자들은 AI를 활용해 표적을 더 정밀하게 선별한 뒤 집중 시도해 성공률을 높이고 있다. 실제로 전 세계 무차별 대입 시도는 연간 약 676억 건(하루 1억 8500만 건)에 달한다. 소프트웨어·시스템의 취약점을 직접 이용해 침투하는 익스플로잇 시도는 전년 대비 25.49% 증가했다.
보고서에 따르면 약 46억 2000만 건의 스틸러 로그(인포스틸러 악성코드에 감염된 기기에서 탈취된 계정·브라우저 데이터 묶음)가 다크웹에서 거래된 것으로 나타났다. 이는 전년 대비 79% 추가 증가한 수치다. 다크웹 내 데이터 거래에서 스틸러 로그는 67.12%로 가장 높은 비중을 차지했다. 스틸러 로그가 선호되는 이유는 브라우저에 저장된 쿠키·세션 정보 등 맥락 데이터를 함께 포함하고 있기 때문이다. 단순히 아이디·비밀번호만 대량으로 입력해보는 방식보다 훨씬 빠르고 정확하게 계정에 침투할 수 있다.
포티넷은 위협 인텔리전스 수집·공유를 통해 글로벌 사이버범죄 차단에 앞장서고 있다. 일례로 인터폴 주도의 ┖레드 카드 2.0 작전’은 아프리카에서 온라인 사기, 모바일 머니 사기, 사기 대출을 운영한 사이버범죄 네트워크의 인프라와 운영자를 차단했다. 포티넷은 세계경제포럼이 주관하는 민관 협력 이니셔티브인 사이버범죄 아틀라스(Cybercrime Atlas)의 창립 멤버다. 오픈소스 인텔리전스를 활용해 사이버범죄 네트워크를 지도화하고 인프라 취약점을 식별해 법 집행 기관의 공동 차단 작전을 지원하고 있다. ┖세렝게티 2.0 작전’ 역시 이 협력 체계를 통해 진행됐다.
또한 포티넷과 크라임 스토퍼스 인터내셔널’(Crime Stoppers International)이 공동 출시한 ‘사이버범죄 바운티 프로그램’은 시민과 보안 연구자(윤리적 해커)들이 사이버위협 정보를 안전하게 익명으로 제보할 수 있는 채널을 제공한다.
데릭 맨키 포티넷 글로벌 위협 인텔리전스 부사장은 “이번 보고서는 악성 행위자들이 에이전틱 AI를 활용해 더 정교한 공격을 실행하기 시작했음을 보여준다”며 “사이버 방어자들도 보안 운영을 산업화된 방어 체계로 전환하고, 최신 위협에 동일한 속도로 대응하는 AI 기반 도구를 채택해야 한다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
랜섬웨어 피해 전년 대비 389% 급증... 제조·서비스·소매업 타격
[보안뉴스 강현주 기자] 2025년 한 해동안 취약점 공개 후 평균 공격 시간이 전년 4.76일에서 24시간~48시간으로 대폭 단축됐다. AI 공격 도구가 다크웹에서 일반 소프트웨어처럼 판매되는 등 해킹 진입 장벽이 낮아졌다. 랜섬웨어 피해는 전년대비 5배 가까이 증가했다.
6일 글로벌 네트워크 보안 융합 솔루션 기업 포티넷(CEO 켄 지)은 ‘2026 글로벌 위협 환경 보고서’를 발표했다.
2025년 사이버 위협 동향을 종합 분석한 이번 보고서는 사이버 범죄가 개별 캠페인이 아닌 하나의 ‘산업형 시스템’으로 진화했음을 보여준다. 포티넷에 따르면 전 세계에서 전년 대비 25% 증가한 약 1219억 건의 익스플로잇(exploit, 취약점을 이용한 침투) 시도가 발생했다. 랜섬웨어 피해는 전년 대비 389% 증가한 7831건으로 집계됐다. 악성 행위자들은 공격을 자동으로 수행하는 ‘섀도우 에이전트’ 를 활용해 공격 개시까지의 시간을 단축하고 있다.
포티넷의 위협 인텔리전스 기관인 포티가드 랩스는 취약점 공개 후 최초 공격 시도까지 걸리는 시간이 평균 24~48시간으로 단축됐음을 확인했다. 전년 평균 4.76일이었던 것과 비교해 크게 줄어든 수치다. 실제로 원격 코드 실행(RCE) 취약점인 ‘리액트2셸’(React2Shell) 취약점은 공개 직후 수 시간 만에 공격이 시도됐다.
지속적 위협 노출 관리(CTEM) 솔루션인 포티레콘 인텔리전스가 집계한 2025년 전 세계 랜섬웨어 피해 사례는 7831건으로, 전년도 약 1600건 대비 389% 증가했다. 웜GPT(WormGPT) 등 AI 기반 범죄 서비스 키트의 확산이 주요 배경으로 꼽힌다. 피해가 가장 집중된 업종은 제조업(1284건), 비즈니스 서비스(824건), 소매업(682건) 순이었다.
클라우드 보안 플랫폼 포티CNAPP 인텔리전스는 2025년 클라우드 침해 사고의 대부분이 인프라 취약점이 아닌 탈취·노출된 자격증명에서 비롯됐음을 확인했다. 유효한 계정 정보만 확보되면 멀웨어나 별도 취약점 없이도 클라우드 환경에 접근할 수 있기 때문이다. 병원·의원 및 소매 업종이 1순위 표적으로 지목됐으며, 대규모 계정 관리 환경과 복잡한 클라우드 연동 구조가 주요 요인으로 분석됐다.
포티레콘 인텔리전스가 다크웹에서 포착한 AI 기반 공격 도구들은 일반 소프트웨어처럼 서비스 형태로 광고·유통되고 있다. 대표적으로 ‘헥스스트라이크(HexStrike) AI┖는 공격 대상 탐색과 침투 경로 설계를 자동화하는 도구다. ‘브루트포스(’BruteForce) AI’는 AI를 활용해 웹 양식을 분석한 뒤 멀티스레드 방식의 대량 자동 공격을 수행한다. ┖웜GPT’나 ‘프로드(Fraud)GPT┖의 강화 버전도 함께 유통되고 있다. 이러한 도구들은 숙련도가 낮은 공격자의 기술 요건을 낮추고 공격 속도를 높인다.
포티넷의 방화벽 솔루션인 포티게이트 침입 방지 시스템(IPS) 텔레메트리는 무차별 대입 시도가 전년 대비 22% 감소한 것을 확인했다. 무차별 대입이란 아이디·비밀번호 조합을 대량으로 시도해 계정 정보를 탈취하는 방식이다. 시도 횟수는 줄었지만 위협이 감소한 것이 아니라 효율화된 것으로, 공격자들은 AI를 활용해 표적을 더 정밀하게 선별한 뒤 집중 시도해 성공률을 높이고 있다. 실제로 전 세계 무차별 대입 시도는 연간 약 676억 건(하루 1억 8500만 건)에 달한다. 소프트웨어·시스템의 취약점을 직접 이용해 침투하는 익스플로잇 시도는 전년 대비 25.49% 증가했다.
보고서에 따르면 약 46억 2000만 건의 스틸러 로그(인포스틸러 악성코드에 감염된 기기에서 탈취된 계정·브라우저 데이터 묶음)가 다크웹에서 거래된 것으로 나타났다. 이는 전년 대비 79% 추가 증가한 수치다. 다크웹 내 데이터 거래에서 스틸러 로그는 67.12%로 가장 높은 비중을 차지했다. 스틸러 로그가 선호되는 이유는 브라우저에 저장된 쿠키·세션 정보 등 맥락 데이터를 함께 포함하고 있기 때문이다. 단순히 아이디·비밀번호만 대량으로 입력해보는 방식보다 훨씬 빠르고 정확하게 계정에 침투할 수 있다.
포티넷은 위협 인텔리전스 수집·공유를 통해 글로벌 사이버범죄 차단에 앞장서고 있다. 일례로 인터폴 주도의 ┖레드 카드 2.0 작전’은 아프리카에서 온라인 사기, 모바일 머니 사기, 사기 대출을 운영한 사이버범죄 네트워크의 인프라와 운영자를 차단했다. 포티넷은 세계경제포럼이 주관하는 민관 협력 이니셔티브인 사이버범죄 아틀라스(Cybercrime Atlas)의 창립 멤버다. 오픈소스 인텔리전스를 활용해 사이버범죄 네트워크를 지도화하고 인프라 취약점을 식별해 법 집행 기관의 공동 차단 작전을 지원하고 있다. ┖세렝게티 2.0 작전’ 역시 이 협력 체계를 통해 진행됐다.
또한 포티넷과 크라임 스토퍼스 인터내셔널’(Crime Stoppers International)이 공동 출시한 ‘사이버범죄 바운티 프로그램’은 시민과 보안 연구자(윤리적 해커)들이 사이버위협 정보를 안전하게 익명으로 제보할 수 있는 채널을 제공한다.
데릭 맨키 포티넷 글로벌 위협 인텔리전스 부사장은 “이번 보고서는 악성 행위자들이 에이전틱 AI를 활용해 더 정교한 공격을 실행하기 시작했음을 보여준다”며 “사이버 방어자들도 보안 운영을 산업화된 방어 체계로 전환하고, 최신 위협에 동일한 속도로 대응하는 AI 기반 도구를 채택해야 한다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
-1.png)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
