엠플의 분석/정리

2025 사이버 위협 동향
및 2026 전망

KISA/과기정통부 사이버 보안 위협 분석 보고서 (81쪽)

리포트 살펴보기
2,383
총 침해사고 신고
+26.3% YoY
588
DDoS 공격
2배 증가
274
랜섬웨어
+40.5%
16,279
악성 패키지 (npm/PyPI)
+188%

2025 침해사고 통계

2025년 총 침해사고 신고 2,383건으로 전년 대비 26.3% 증가했습니다. 서버해킹과 DDoS 공격이 주요 위협으로 부상했습니다.

총 신고 건수

2,383건 (2024년 대비 +26.3%)
상반기 1,034건(+15% YoY)
하반기 1,349건(+37% YoY)

서버해킹

44.2%로 가장 높은 비중
웹 취약점, 미패치 시스템이 주요 침투 경로

DDoS 공격

24.7% (285건 → 588건, 2배 증가)
대용량 공격 및 복합 공격 증가

랜섬웨어

악성코드 감염의 77%
195건 → 274건 (+40.5%)
중소·중견 피해 집중

2025 주요 위협 사고

생활 밀접 인프라부터 공급망, 개인정보까지 다양한 영역에서 대형 보안 사고가 발생했습니다.

통신/생활 인프라

SKT: USIM 2,600만건 유출 (장기 잠복 백도어)
KT: 불법 펨토셀 소액결제/망 악용 (10년 인증서 사용)
예스24: 랜섬웨어 2회 피해
SGI서울보증: 서비스 마비

공급망/오픈소스

악성 패키지: npm·PyPI 전년동기 대비 +188% (16,279개)
Kimsuky: npm 악성 패키지 197개 시도
Ghost Action: GitHub 계정 탈취 → 토큰 유출
BadBox 2.0: 백도어 선탑재 기기 대량 유통

랜섬웨어 고도화

교육·의료·B2C까지 확산
Qilin: 금융 IT 침투 후 자산운용사별 분리 협상
이중갈취 확산 → 백업/ASM/세그멘테이션 필수

개인정보 대량 유출

주요 사고: 듀오, GS홈쇼핑, 알바몬, SKT/KT, 쿠팡 등
쿠팡: 3,370만건 유출
2차 피해: 스미싱, 보이스피싱, 가짜 보상 안내 급증

2025 주요 보안 사고 타임라인

2025년 국내에서 발생한 주요 사이버 보안 사고들을 시간순으로 정리했습니다.

2025년 상반기
SKT USIM 2,600만건 유출
장기 잠복 백도어를 통한 대규모 개인정보 유출. 통신 인프라 보안의 심각성을 환기시킨 사건.
2025년
KT 펨토셀 악용 사건
10년간 사용된 인증서를 통한 불법 소액결제 및 망 악용. 레거시 시스템 관리의 중요성 부각.
2025년
예스24 랜섬웨어 2회 피해
동일 기업이 연속으로 랜섬웨어 공격을 받은 사례. 조사 동의 의존 등 대응체계 한계 노출.
2025년
쿠팡 3,370만건 개인정보 유출
대형 이커머스 플랫폼의 개인정보 유출. 2차 피해(스미싱, 보이스피싱) 급증.
2025년
Kimsuky npm 악성 패키지 시도
북한 해킹 그룹이 npm에 197개의 악성 패키지 업로드 시도. 공급망 공격 위협 증가.
2025년
SGI서울보증 서비스 마비
금융 인프라 대상 공격으로 서비스 장애 발생. 생활밀접 인프라 보안 강화 필요성 제기.

2026 위협 전망 4대 축

AI 공격 상시화, EOS/쉐도우 IT 악용, 클라우드 복합 공격, 유출 개인정보 2차 악용이 핵심 위협으로 전망됩니다.

AI 공격 상시화

딥페이크 실시간 피싱, LLM 악성코드/랜섬웨어(PromptLock 등), 모델/프롬프트 인젝션·데이터 오염

대응: 프롬프트 필터, 권한 최소화, AI 레드팀, 행위기반 탐지, Human-in-the-Loop

EOS/쉐도우 IT 악용

Windows 10 EOL, 레거시 장비가 주요 진입로 (Citrix NetScaler 사례)

대응: 자산 인벤토리, 즉시 격리, 마이크로세그멘테이션, 경계/하이퍼바이저 패치 우선

클라우드 복합 공격

AI/자동화 스캐닝, API→컨테이너→서버리스 체인, CI/CD·IaC 공급망 삽입

대응: ASM→위험점수→우선대응, AI-SIEM/XDR, Shift-Left, 로그 무결성

유출 개인정보 2차 악용

결합 데이터로 정교한 스미싱/보이스피싱/가짜 환불 확대

대응: 차단 서비스 안내, 신고·모니터링 강화, 공식 채널 명확화

정책/제도 및 거버넌스

국가 사이버 보안 거버넌스가 대폭 강화되고, AI 보안 규범이 처음으로 수립되었습니다.

대통령실 AI수석 신설, 부처 CAIO·협의체 구성, 국가AI전략위 출범
과기정통부 부총리 격상
N²SF: 망분리 → 데이터 중심·CDS 통제로 전환

국정원: 공공용 AI 보안 가이드북 (15위협·30대책·57 체크리스트)
과기정통부/KISA: 민간용 안내서 (113 요구사항: Secure-by-Design, 암호화, 공급망, 이상탐지, API 보안 등)

1,600 핵심 IT 전수 점검
통신사 불시 점검/펨토셀 폐기 가능
ISMS/ISMS-P 실효성·의무화 강화
소비자 중심 대응·재발방지
산업·인력 육성, 국가 사이버안보 전략 예고

정보통신망법상 한계: 신고 지연·은폐(LGU+), 조사 동의 의존(예스24)
필요 조치: 조사 강제력·증거보전·민관합동조사 실효성 강화

CISO 책임·권한 강화 (예산·이사회 보고)
정보보호 등급제, 보안 예산 비율 의무
AI 도입 위험평가
유출 과징금 상향·경영진 책임

기술 심층: 인텔리전트 스택 방어

AI 시스템의 각 계층별 위협과 대응 방안을 분석합니다.

데이터 계층

위협: 데이터 오염, RAG 오염
대응: 데이터 파이프라인 무결성, SBOM·검증

모델 계층

위협: 모델 도용, 적대적 공격
대응: 쿼리 추적, 레이트리밋, 대응형 방어

인프라 계층

위협: GPU 하이재킹, 벡터DB 인젝션
대응: 접근 분리·패치, 입력 검증·권한 분리

애플리케이션 계층

위협: 간접 프롬프트 주입, 에이전트 탈취
대응: 프롬프트 필터, 컨텍스트 분리, 권한 최소화

양자보안 핵심

Harvest Now, Decrypt Later

현재 암호화된 데이터를 수집해 향후 양자컴퓨터로 복호화하는 위협이 현실화
PQC/QKD 전환은 PKI·TLS/SSH/VPN·코드서명·펌웨어·HSM/KMS까지 아우르는 전사 과제

양자보안 조치

장기 기밀 데이터 식별
암호 전환 로드맵 수립
키·인증서 수명 관리
코드서명·공급망 무결성 강화

실무 보안 체크리스트

자산 가시화: 계정·리전·VPC·K8s·서버리스·CI/CD 파이프라인 식별, 태깅·CMDB/ASM 연동

기본기: MFA/SSO, 최소권한 IAM·권한경계, KMS/Vault로 키 관리, 스토리지 퍼블릭 차단 기본값

네트워크: 마이크로세그멘테이션, SG/ACL 기본 거부, egress 제한, WAF·API 게이트웨이 보호

로그/탐지: CloudTrail/Config/Flow 등 무결성 보존, AI-SIEM/XDR로 토큰 남용·권한 상승·대량 데이터 이동 감지

CI/CD·IaC: 코드서명·모듈 검증, IaC 스캔(권한·네트워크·암호화), 아티팩트 해시 검증, 시크릿 격리

컨테이너/K8s: 이미지 서명·취약점 스캔, 런타임 정책(네트워크/FS/권한 제한), RBAC 최소화, API 서버 통제

서버리스: 환경변수 비밀 제거, 퍼블릭 트리거 제한, 실행 역할 최소화, 아웃바운드 제어

SBOM 필수화: 앱·모델·벡터DB·에이전트 포함, 취약점·라이선스 모니터링

서드파티 무결성: 해시 검증, 저장소 서명/2FA, PR 코드 리뷰, 의존성 핀 고정

빌드 파이프라인: 서명 아티팩트만 배포, 토큰/키 스캔 차단, CI/CD 비밀 격리

벡터DB/RAG: 입력 검증, 테넌트 분리, 패치 최신, 인덱스 덤프 접근 통제

접근·권한: RBAC/ABAC, 데이터 등급별 통제, 프롬프트·시크릿 분리 저장

프롬프트 방어: 필터링·정규화, 컨텍스트 분리(사용자 입력 vs 시스템 지시), 토큰 제한·출력 필터

데이터 무결성: 학습/지식베이스 출처 검증, 데이터 오염 탐지, PII 마스킹·가명처리

테스트·모니터링: 적대적 샘플/프롬프트 인젝션 레드팀, 모델 도용·과도 출력 감시, Human-in-the-Loop

예방: EDR/XDR, 패치 우선(외부 노출·EOS), 원격접속 차단/강화, 매크로·스크립트 제한

백업: 3-2-1(+불변) 원칙, 콜드 백업·분리 네트워크, 정기 복구 테스트

계정·권한: 관리자 최소화, MFA, 도메인 관리자 사용 제한, 비밀 주기 교체·LAPS

탐지/대응: 대량 암호화·삭제·백업 접근 차단 룰, 감염시 네트워크 분리·격리 플레이북

즉시 조치: 계정·키 회수, 접근 차단, 로그 보존, 영향 범위 식별(필드 단위)

통지·안내: 피해자 맞춤 통지, 스미싱/보이스피싱 예방·공식 채널 명시

모니터링·차단: 유출 기반 스미싱/보이스피싱 신고·차단, 번호도용문자차단·URL 평판 연계

근본 대책: 퇴사자·벤더 계정 자동 회수, 최소권한 재설계, 정기 접근 리뷰, PII 암호화·토큰화

원칙: 3-2-1(+불변) 유지 - 백업 3개 이상·매체 2종·오프사이트 1·불변 스토리지 1

범위: DB(PITR), 파일/오브젝트, VM/컨테이너 볼륨, CI/CD 아티팩트, IaC 설정, 시크릿/키, 로그/감사

격리: 백업 전용 계정·VPC, 오프라인/콜드 백업, egress 제한

테스트: 주기적 무결성 테스트(샘플 복원+체크섬), 분기별 격리 환경 전체/부분 복구 드릴

DR/BCP: 연 1회 리전/센터 장애 가정 페일오버·페일백, 연락망·의사결정 라인 점검

인벤토리: IT/OT/클라우드/AI 시스템 목록화, 데이터 등급(기밀·민감·공개) 분류

위험평가: AI/클라우드/외부 서비스 도입 전 위험평가, 고위험/고영향 추가 검증·모니터링

정책·훈련: 제로트러스트 원칙, 프롬프트/데이터 처리 가이드, 피싱·스미싱·AI 오용 훈련

감사·보고: CISO/보안위원회 정기 보고, 예산·인력 확보, 사고 보고 타임라인·역할 명확화