새로운 전격전: AI가 사이버 공격 시간을 어떻게 몇 분 단위로 단축시켰는가

몇 년 전 데이터 유출(Data Breach)이 어떻게 발생했는지를 고려해 본다면, 해커들이 매우 인내심을 가지고 조직의 네트워크에 침투할 백도어(Backdoor)를 찾는 데 시간을 들였으며, 네트워크에 접속한 후 데이터를 탈취하거나 보안 팀에 탐지되기 전까지 몇 주 또는 몇 달 동안 주변을 탐색했다는 것을 알 수 있습니다. 과거에는 보안 팀이 이상 징후를 탐지하고 이를 해결할 수 있는 시간적 여유와 사치를 누릴 수 있었던 것처럼 보였습니다.

하지만 그러한 시간적 여유와 사치는 더 이상 존재하지 않습니다. 따라서 가장 최근의 Verizon Data Breach Investigations Report (DBIR)와 CrowdStrike의 최신 업데이트를 포함하여 2026년 중반의 최근 위협 인텔리전스(Threat Intelligence) 보고서들은 생성형 인공지능 (Generative AI)에 의해 전적으로 주도된 사이버 범죄 환경의 중대한 변화를 보여주었습니다. 결과적으로, 생성형 AI에 의해 주도되는 데이터 유출의 속도, 규모 및 실행력 때문에 인간 방어자들은 더 이상 이러한 유출에 단독으로 대응하거나 속도를 맞출 수 없게 되었습니다.

올해 교전 규칙(Rules of Engagement)이 어떻게 진화했는지, 그리고 그것이 현대의 디지털 방어에 무엇을 의미하는지에 대한 분석은 다음과 같습니다.

1. 장기 침투의 종말
해커들은 일반적으로 탈취한 자격 증명(Credentials)을 시스템 침입의 주요 수단으로 사용해 왔습니다. 하지만 2026년에는 소프트웨어 취약점(Software Vulnerabilities)을 악용하는 것이 탈취한 비밀번호를 사용하여 시스템에 접속하는 것을 넘어서는 중대한 변화가 있었습니다. 이러한 변화의 이유는 무엇일까요? 이제 사이버 범죄자들이 소프트웨어 취약점을 찾고 악용하는 프로세스를 자동화하도록 특별히 설계된 생성형 AI 모델을 사용할 수 있기 때문입니다. 사이버 범죄자들은 이제 AI 시스템을 사용하여 기업 소프트웨어 시스템의 취약점을 즉각적으로 스캔하고, 취약점이 발견되는 즉시 해당 약점을 악용하는 멀웨어(Malware)를 자동으로 생성할 수 있습니다. 따라서 사이버 범죄자들은 피해 조직이 취약점을 점검하고 패치(Patch)를 배포할 능력을 갖추기 전에 멀웨어를 사용할 수 있게 되었습니다.

2. 90%의 속도 급증
CrowdStrike의 최근 데이터에 따르면, AI 지원 사이버 공격(AI-assisted cyberattacks)의 양은 지난 1년 동안 약 89%로 급격히 증가했습니다. 단순히 전체적인 양만 증가한 것이 아니라, "탈출 시간 (breakout time)"(즉, 침입자가 네트워크의 초기 진입 지점에서 다른 핵심 시스템으로 이동하는 데 걸리는 시간)이 기존의 몇 시간 단위에서 이제는 몇 분 단위로 단축되었습니다.

또한, 자동화된 스크립트(automated scripts)가 측면 이동(lateral movement), 데이터 스테이징(data staging) 및 암호화(encryption)를 수행할 수 있어, 점심시간 동안 침해 사고가 발생하기도 합니다. 내부 보안 팀이 기준치 이상의 이상 징후 알림(baseline anomaly alert)을 확인하고 조사를 위해 대시보드(dashboard)에 로그인할 때쯤이면, 모든 데이터는 이미 유출(exfiltrated)되었고 화면에는 랜섬웨어 요구서(ransom note)가 투영되어 있을 것입니다.

3. 공급망 및 확장 프로그램의 사각지대
기업 경계(enterprise boundaries)의 보안을 뚫는 것이 점점 더 어려워짐에 따라, 해커들은 이제 해당 기업 내의 상위 시스템 리소스에 접근하기 위해 겉보기에 더 "취약한" 다른 대상, 즉 제3자 벤더(third party vendors)와 개발 도구(development tools)를 목표로 삼고 있습니다. 이러한 전술의 최근 완벽한 사례는 악의적인 행위자들이 GitHub의 물리적 인프라를 직접 침해하는 대신, Visual Studio Code에 악성 확장 프로그램(malicious extension)을 설치하여 개발자의 컴퓨터를 공격함으로써 GitHub의 내부 소스 코드 저장소(source code repositories)를 성공적으로 공격했을 때 입증되었습니다. 이 방법을 통해 GitHub 개발자가 접근할 수 있는 단 한 대의 컴퓨터에 접속함으로써, 공격자들은 수천 개의 소스 코드 저장소로부터 데이터를 수집할 수 있었습니다.

일반 사용자들 또한 웹 브라우저의 악성 확장 프로그램을 사용하는 해커들의 표적이 되고 있습니다. 예를 들어, 최근 YouTube 내 광고를 차단하는 데 널리 사용되는 확장 프로그램에 확장 프로그램 사용자들의 브라우저에 코드를 주입할 수 있는 휴면 멀웨어(dormant malware)가 포함되었을 것으로 추정되는 사례가 있었습니다.

이러한 방식으로, 해커들은 모든 사용자의 웹 브라우저를 통해 기업 네트워크로 향하는 개방된 액세스 포인트(access points)로 변모시키고 있습니다.

선제적 인텔리전스(Proactive Intelligence)로의 전환
전통적인 방어 모델인 반응형 보안(reactive security, 즉 나쁜 일이 발생하여 경보가 울릴 때까지 기다리는 방식)은 급속한 사이버 공격 활동 앞에서 구식이 되었습니다. 결과적으로, 선제적인 "노출 인텔리전스(exposure intelligence)" 기술의 등장은 내부 네트워크뿐만 아니라 외부 세계(다크 웹 마켓플레이스, 자동화된 데이터 유출 저장소, 또는 지하 Telegram 커뮤니티 등)를 모니터링해야 할 필요성을 나타냅니다. 이는 AI 기반 공격 엔진(AI-driven attack engine)이 귀사의 경계(perimeter)를 침해하기 위해 사용하기 전에, 유출된 자산(기업 자격 증명 또는 직원 프로필 등)을 식별하기 위함입니다.

2026년까지 사이버 보안 산업은 단순히 누가 더 나은 방화벽을 가졌느냐의 경쟁을 넘어 속도의 싸움으로 변모할 것입니다. 속도를 맞추기 위해서는 자동화된 가시성(Automated visibility)이 무엇보다 중요해질 것입니다.

DarkX - DarkX는 조직에 AI 기반 역량을 제공합니다. 이는 다크 웹 활동 중 가장 활발한 영역을 모니터링할 수 있게 할 뿐만 아니라, 잠재적인 사이버 범죄 활동이 발생하는 것을 저지하는 데 사용할 수 있는 실행 가능한 위협 인텔리전스(actionable threat intelligence)와 함께 침해 사고에 대한 실시간 알림을 생성합니다.

사이버 보안, 개인정보 보호 및 신흥 디지털 리스크에 대한 더 많은 연구를 원하시면 다음을 방문하십시오:
IntelligenceX — IntelligenceX는 사용자가 개인정보를 보호하는 방식으로 디지털 증거를 발견할 수 있도록 지원합니다.