2012년 이후 모든 주요 공격 파동에 앞서 나타났던 동일한 5가지 신호가 현재 모두 활성화되어 있습니다
요약
다크 웹 모니터링 결과, 2027년 1분기를 향해 대규모 사이버 공격 파동이 수렴하고 있다는 경고가 나왔습니다. 경제적 압박과 AI 기술의 결합으로 인해 새로운 범죄 그룹이 급증하며 기업 및 핵심 인프라에 대한 위협이 심화되고 있습니다.
핵심 포인트
- 2027년 1분기 대규모 사이버 공격 급증 가능성
- AI를 활용한 공격 파이프라인의 가속화 및 저렴화
- 지정학적 불안정과 경제적 압박으로 인한 범죄 인력 증가
- 글로벌 분산형 운영 구조를 가진 새로운 범죄 그룹의 출현
현재 다크 웹 (dark web)에서 제가 보고 있는 것들은 다음 주요 공격 파동이 '올 것인가'의 문제가 아니라, 그것이 닥쳤을 때 '당신이 얼마나 준비되어 있는가'의 문제임을 말해줍니다.
저는 직업적으로 다크 웹 (dark web)/지하 생태계를 모니터링하고 있습니다. 거의 20년 동안 이 일을 해왔습니다. 이 글에서 제가 설명하려는 것은 추세 외삽 (trend extrapolation)이나 벤더 (vendor) 데이터에 기반한 예측이 아닙니다. 이것은 내일의 공격이 계획되고, 인력이 배치되며, 도구가 제작되고 있는 지하 커뮤니티 내부에서 이번 주, 이번 달에 실제로 일어나고 있는 현상을 바탕으로 합니다.
요약하자면: 기업 수익과 핵심 인프라 (critical infrastructure)를 모두 겨냥한 사이버 공격의 상당한 급증을 위한 조건들이 2027년 1분기 (Q1 2027)를 향해 수렴하고 있습니다. 인력은 지금 모집되고 있습니다. 도구는 지금 만들어지고 있습니다. 모집을 추진하는 경제적 압박은 완화되는 것이 아니라 심화되고 있습니다. 그리고 인공지능 (AI)은 전체 파이프라인 (pipeline)을 더 빠르고, 저렴하며, 12개월 전에는 위협 행위자 (threat actors)로서 자격이 없었을 사람들도 접근할 수 있게 만들고 있습니다.
내부에서 바라본 모습은 다음과 같습니다.
매주 새로운 그룹이 형성되고 있습니다
지난 2주 동안에만 제가 직접 모니터링하는 단 두 개의 포럼 (forum)에서, 무에서 유로 형성되거나 확장을 위해 적극적으로 모집 중인 여러 새로운 범죄 그룹을 관찰했습니다. 이들은 단순히 몇 명의 멤버를 추가하는 기존의 운영 조직이 아닙니다. 이들은 새로운 실체이며, 새로운 이름, 새로운 채널, 새로운 모집 스레드 (recruitment threads)가 지난 몇 년 동안 제가 관찰했던 그 어느 시점보다 유의미하게 높은 속도로 나타나고 있는 새로운 존재들입니다.
이 그룹들은 주로 동유럽에 기반을 둔 개인들로부터 형성되고 있지만, 지역적으로만 활동하는 것은 아닙니다. 이들은 여러 대륙에 걸쳐 분산된 팀을 구축하고 있습니다. 운영 구조는 첫날부터 글로벌합니다. 한 국가의 리크루터(Recruiter), 다른 국가의 개발자(Developer), 제3국의 액세스 브로커(Access broker), 네 번째 국가의 자금 세탁 채널(Money-laundering channel)과 같은 식입니다. 이 그룹들이 국제적으로 탄생하는 이유는 그들이 사용하는 도구와 플랫폼—암호화된 메시징(Encrypted messaging), 암호화폐(Cryptocurrency), 다크웹 포럼(Dark web forums)—이 운영 구조에서 지리적 요소를 무의미하게 만들기 때문입니다.
이것은 일시적인 현상이 아닙니다. 제가 매주 확인할 때마다 새로운 그룹들이 나타나고 있습니다. 매주 리크루팅 스레드(Recruitment threads)에는 더 많은 응답이 달리고 있습니다. 이들이 생산하는 것, 즉 액세스(Access), 도구(Tools), 그리고 운영 역량(Operational capability)에 대한 수요가 증가하고 있기 때문에 지하 노동 시장은 성장하고 있습니다.
경제적 압박이 동력입니다.
사람들은 어느 날 아침 갑자기 일어나 사이버 범죄자가 되기로 결정하지 않습니다. 그들은 일련의 경제적 계산 과정을 거쳐 그곳에 도달하며, 각 단계는 작지만 각자의 틀 안에서는 합리적입니다. 이 과정은 재정적 압박에서 시작됩니다. 비용을 충당하지 못하는 임금, 실현되지 않는 기회, 그리고 개인이 합법적으로 벌 수 있는 금액과 생존을 위해 또는 자신이 누려 마땅하다고 믿는 생활 수준을 달성하기 위해 필요한 금액 사이의 격차 말입니다.
그러한 재정적 압박이 현재 여러 지역에서 심화되고 있습니다. 지정학적 불안정성으로 인한 경제적 혼란—에너지 수출에 의존하는 국가들의 원자재 수익 붕괴, 분쟁 지역 인접 경제권의 제재로 인한 위축, 개발도상국의 인플레이션 압력—은 기술적 소양을 갖추고 인터넷 접속이 가능하지만, 원하는 소득을 얻을 수 있는 합법적인 경로가 없는 기술 숙련된 젊은 세대를 만들어내고 있습니다.
언더그라운드(Underground)는 그러한 기술들이 시장을 찾는 곳입니다. 현재 형성되고 있는 그룹들은 다크 웹(Dark web)에서 수십 년의 경력을 쌓은 전문 범죄자들로 구성된 것이 아닙니다. 이들은 사이버 범죄의 위험 계산(Risk calculus)을 합리적으로 보이게 만드는 경제적 상황에 밀려 최근에 선을 넘은 사람들로 구성되어 있습니다. 이들은 기존의 행위자(Established actors)들이 감수하지 않을 위험을 기꺼이 감수합니다. 기존 행위자들은 보호해야 할 것이 있는 반면, 이 새로운 진입자들은 그렇지 않기 때문입니다. 이들은 더 무모하고, 더 공격적이며, 잠재적인 보상이 그들의 계산에서 위험을 정당화하기 때문에 가치가 높은 인프라(High-value infrastructure)를 목표로 삼는 데 더 적극적입니다.
경제적 압박이 증가하면, 언더그라운드의 노동 공급이 증가합니다. 노동 공급이 증가하면, 운영 출력(Operational output)이 증가합니다. 운영 출력이 증가하면, 귀사의 기업이 공격 대상이 될 가능성이 더 높아집니다. 이 연쇄 고리는 직접적이며 관찰 가능합니다.
AI는 촉매제입니다
지난 1년 동안 제가 언더그라운드에 대해 관찰한 모든 내용은 동일한 구조적 변화로 귀결됩니다. 즉, AI가 공격적 사이버 작전(Offensive cyber operations)에 대한 진입 장벽을 과장하기 어려울 정도로 낮추었다는 점입니다.
12개월 전만 해도, 방어 체계가 잘 갖춰진 기업 대상을 상대로 신뢰할 만한 공격을 개시하려면 진정한 기술적 전문 지식이 필요했습니다. 이는 개발하는 데 수년이 걸리는 종류의 전문 지식이었으며, 자연스럽게 역량 있는 위협 행위자(Threat actors)의 풀을 제한했습니다. 오늘날 AI 도구는 어떤 언어로든 문맥상 설득력 있는 피싱(Phishing) 콘텐츠를 생성할 수 있고, 시그니처 기반 탐지(Signature-based detection)를 회피하는 멀웨어(Malware) 변종을 제작할 수 있으며, 수동 운영자가 따라올 수 없는 속도로 취약점 스캐닝(Vulnerability scanning)을 자동화할 수 있고, 이전에는 숙련된 인간의 판단이 필요했던 측면 이동(Lateral movement) 결정까지 보조할 수 있습니다.
Medium 멤버가 되기
내가 관찰한 지하 세계(underground)에 진입하는 신입들은 전문가가 아닙니다. 이들 중 상당수는 기존 그룹들이 실시하는 검증 테스트(vetting tests)를 통과하지 못했겠지만, AI를 사용하여 그 테스트들을 통과하고 있습니다. 이들은 실제 기술 수준을 초과하는 AI 증강 역량(AI-augmented capability)을 갖추고 생태계에 진입합니다. 이들은 사용하는 도구를 근본적인 수준에서 이해하지 못하기 때문에 작전 보안(OPSEC)은 취약합니다. 하지만 그들의 운영 능력(operational capability)은 심각한 피해를 입히기에 충분합니다. 왜냐하면 도구들이 결과를 만들어내는 데 깊은 이해를 요구하지 않기 때문입니다.
이것이 바로 AI 보조적 평범함(AI-assisted mediocrity) 문제이며, 현재 위협 환경(threat landscape)에서 가장 중요한 단일 변화입니다. 이전 세대의 위협 행위자(threat actors)들은 소수였고 숙련되었습니다. 다음 세대는 대규모이며 적당한 수준(adequate)일 것입니다. '적당한 수준'은 네트워크를 침해하고, 핵심 시스템을 암호화하며, 데이터를 유출하고, 몸값을 요구하기에 충분합니다. 공격자가 전문가이든 AI의 도움을 받는 초보자이든 발생하는 피해는 동일합니다. 차이점은 그들의 수가 훨씬 더 많아질 것이라는 점입니다.
왜 특히 2027년 1분기인가
이 타임라인은 임의적인 것이 아닙니다. 이는 내가 모니터링하는 생태계 전반에서 일관되게 관찰해 온 '모집에서 배치까지의 주기(recruitment-to-deployment cycle)'를 따릅니다.
2026년 6월과 7월 현재 모집 중인 그룹들은 향후 3개월에서 6개월 동안 역량을 구축하는 데 시간을 보낼 것입니다. 즉, 팀을 구성하고, 도구를 확보하며, 초기 침투 브로커(initial-access brokers)로부터 액세스를 구매하고, 운영 워크플로(operational workflows)를 테스트하며, 목표를 선정하는 과정입니다. 이 모집 파동의 운영 결과물은 2026년 4분기에 나타나기 시작하여 2027년 1분기에 정점에 도달할 것입니다.
동시에, 모집 (recruitment)을 주도하는 지정학적 압박은 완화되지 않고 있습니다. 수익 붕괴에 직면한 에너지 의존형 경제들은 더 많은 경제적 압박을 만들어내고, 이는 더 많은 지하 노동력 공급을 창출하며, 결과적으로 더 많은 운영 능력 (operational capability)을 만들어냅니다. 이 사이클은 자기 강화적 (self-reinforcing)입니다. 매 분기의 경제적 압박은 다음 분기의 모집을 위한 자금을 제공하며, 매 분기의 모집은 그다음 분기의 공격 규모를 위한 자금을 제공합니다.
공격 증가 데이터는 이러한 궤적을 뒷받침합니다. 신뢰할 수 있는 업계 보고에 따르면 2025년의 공격은 전년 대비 4050% 증가할 것으로 나타났습니다. 현재 제가 지하 세계에서 관찰하고 있는 바에 따르면, 2026년은 6080% 증가를 향해 순항 중입니다. 그리고 현재 진행 중인 모집 파동은 2027년 1분기부터 2028년 중반까지, 단일 사이클 내에서 생태계에 진입하는 가장 큰 규모의 새로운 위협 행위자 (threat actors) 집단에 의해 추가적인 가속화가 일어날 것임을 시사합니다.
기업과 주요 인프라 운영자가 지금 당장 해야 할 일
준비할 수 있는 시간적 여유는 향후 6개월입니다. 그 이후에는 파동이 닥쳐오며, 질문은 예방 (prevention)에서 대응 (response)으로 전환됩니다.
1차 출처 인텔리전스 (primary-source intelligence)에 투자하십시오. 위협 피드 (threat feeds)와 SIEM 경고는 어제 무슨 일이 일어났는지를 알려줍니다. 현재 지하 세계에서 무엇이 구축되고 있는지, 어떤 그룹이 형성되고 있는지, 그들이 어떤 도구를 확보하고 있으며 어떤 목표물을 논의하고 있는지를 이해하는 것이 다음 분기에 무슨 일이 일어날지를 알려줍니다. 사후 대응적 (reactive) 인텔리전스와 선제적 (proactive) 인텔리전스 사이의 격차는 랜섬을 지불하느냐, 아니면 침해를 방지하느냐의 격차입니다.
공격자처럼 생각하는 사람을 채용하십시오. 보안 산업은 방어에 탁월한 재능 있는 기술 전문가들로 가득 차 있습니다. 대부분의 팀에 부족한 것은 공격자의 입장이 되어, 위협 행위자가 귀사의 인프라를 바라보는 방식으로 살펴보고, 공격자가 찾아내기 전에 저항이 가장 적은 경로 (path of least resistance)를 식별할 수 있는 사람입니다. 이는 단순한 기술적 능력이 아니라 적대적 상상력 (adversarial imagination)을 필요로 합니다.
AI가 위협 모델 (threat model)을 변화시켰음을 인정하십시오. 귀하의 방어 체계는 유능한 공격자는 드물고 숙련되지 않은 공격자는 위험하지 않았던 세상을 위해 설계되었습니다. 그 세상은 더 이상 존재하지 않습니다. AI는 상당한 기술을 갖춘 공격자라는 중간 범주를 대규모로 만들어냈습니다. 따라서 귀하의 탐지 (detection), 대응 (response), 복구 (recovery) 역량은 단순히 정교함뿐만 아니라 규모 (volume)에 맞춰 조정되어야 합니다.
귀하의 핵심 인프라 의존성을 스트레스 테스트 (stress-test) 하십시오. 제가 현재 형성되고 있는 것을 관찰하고 있는 그룹들이 모두 몸값을 요구하기 위해 기업 데이터를 목표로 하는 것은 아닙니다. 일부는 에너지, 물류, 통신, 금융 시스템과 같은 핵심 인프라를 명시적으로 논의하고 있습니다. 그들의 동기가 이익인지, 혼란인지, 혹은 그들 자신조차 완전히 이해하지 못하는 국가적 이익과의 일치인지 여부와 상관없이, 타겟팅은 실재하며 그 역량은 지금 조립되고 있습니다.
불편한 진실
사이버 보안 산업은 구조적으로 변화하려는 위협 환경 (threat landscape)에 최적화된 방어 체계를 구축하며 20년을 보냈습니다. 이 변화는 이론적인 것이 아닙니다. 관찰 가능한 것입니다. 저는 그룹들이 형성되는 것을 볼 수 있습니다. 신규 모집 인원들이 도착하는 것을 볼 수 있습니다. 도구들이 만들어지는 것을 볼 수 있습니다. 접근 권한 (access)이 구매되는 것을 볼 수 있습니다. 파이프라인은 가득 차 있으며, 2027년 1분기를 향해 흐르고 있습니다.
나중에 대응하면 더 많은 비용을 치르게 됩니다. 지금 보고 예방하십시오.
향후 6개월은 준비 기간입니다. 기업과 인프라 운영자가 이 기간 동안 무엇을 하느냐에 따라 2027년 1분기가 그들이 관리할 수 있었던 위기인지, 아니면 그들을 집어삼킨 위기인지가 결정될 것입니다.
Adrian Alexandru는 루마니아 브라쇼브에 본사를 둔 독립 사이버 위협 인텔리전스 운영 기관인 Aether Intel의 설립자이자 수석 분석가 (Lead Analyst)입니다. 그는 다크웹 HUMINT (인적 정보), 위협 행위자 행동 프로파일링 (behavioural threat actor profiling), 적대적 인프라 분석 (adversarial infrastructure analysis)을 전문으로 합니다. 그는 https://aether-intel.com에서 공개 인텔리전스 연구를 발표합니다.
이 기사는 지하 생태계(underground ecosystems)에 대한 직접적인 관찰을 바탕으로 작성되었습니다. 특정 포럼이나 채널의 이름은 명시되지 않았습니다. 기밀 정보(classified intelligence)는 인용되거나 암시되지 않았습니다.
#CyberSecurity #ThreatIntelligence #DarkWeb #HUMINT #Ransomware #CriticalInfrastructure #CISO #InfoSec #CyberThreats #AI #ThreatActors #OSINT #RiskManagement #IncidentResponse
AI 자동 생성 콘텐츠
본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기