클라우드 보안 기업 크라우드스트라이크(CRWD)가 공개한 ‘2025 위협 헌팅 리포트’에 따르면, 지난 1년 새 클라우드 침해와 신원 도용을 앞세운 사이버 공격이 폭발적으로 증가하며 전례 없는 수준으로 위협이 고도화되고 있는 것으로 나타났다. 특히 이번 보고서는 클라우드 환경을 노린 공격과 지능형 지속 위협(APT), 그리고 생성형 인공지능(AI)의 악용이 기업 보안에 구조적인 변화를 유도하고 있다고 경고했다.
이번 보고서는 2024년 7월부터 2025년 6월까지 크라우드스트라이크의 위협 헌팅 조직 ‘오버워치’와 위협 인텔리전스팀이 전 세계 수천 개 기업 네트워크에서 수집한 데이터를 기반으로 작성됐다. 라스베이거스에서 개최 중인 ‘블랙햇 USA 2025’ 보안 컨퍼런스에 맞춰 발간된 이번 리포트는, 공격자들이 정교해진 전술로 가시성을 피하고 있다는 점에서 보안 담당자에게 중요한 시사점을 제공한다.
보고서에서 가장 눈에 띄는 지표는 악성코드 없이 진행된 공격 비율이 전체의 81%에 달했다는 점이다. 기존의 악성 파일을 통한 침투 대신, 자격 증명 도용이나 내부 시스템을 조용히 누비는 수평 이동, 보안 회피 기법 등이 주류 공격 방식으로 자리잡았다는 이야기다. 실제로 ‘스캐터드 스파이더(Scattered Spider)’나 ‘컬리 스파이더(Curly Spider)’와 같은 전자범죄 집단이 여러 산업을 타깃으로 한 대규모 캠페인을 벌이며 이러한 전술을 적극 활용한 것으로 드러났다.
클라우드 인프라의 위협 수준도 급등했다. 2025년 상반기에만 클라우드 침입은 전년 전체 대비 136%나 증가했다. 단순 침투에서 머무르지 않고, 클라우드 메타데이터 서비스나 제어 플레인을 악용해 지속적인 침투와 수평 확산까지 이뤄지는 모습도 포착됐다. 특히 국가 연계 가능성이 제기된 ‘제네시스 판다(Genesis Panda)’는 클라우드 기반 인프라를 자산 탈취 및 악성 페이로드 배포에 활용하며 보안 경계를 손쉽게 무너뜨렸다.
공공기관과 통신 인프라도 집중 타깃이 됐다. 정부기관을 노린 공격은 작년 대비 185% 급증했으며, 이는 주로 러시아 연계 해커 ‘프리미티브 베어(Primitive Bear)’의 활동 때문으로 분석됐다. 통신망 대상 침해도 130% 증가했다. 국가 대응력이나 중요 데이터를 보유한 이들 산업은 전략적 가치가 높아 공격자에게 꾸준한 표적이 되고 있다.
한편, 생성형 인공지능의 악용도 현실적 위협으로 부상했다. 북한 연계 해킹 조직 ‘페이머스 촐리마(Famous Chollima)’는 내부자 위협 시나리오를 중심으로 AI를 적극 활용했다. 이들은 실제처럼 보이는 이력서를 AI로 생성하거나, 인터뷰용 딥페이크 영상을 실시간 제작함으로써, 인재 채용 시스템을 악용하는 방식의 공격을 수백 회 이상 감행했다.
특히 스캐터드 스파이더는 다중 인증(MFA)을 우회하는 음성 피싱과 지원 데스크 장악을 통해, 단 하루 만에 랜섬웨어를 배포하는 사례를 보여줬다. 이는 2024년 평균보다 32% 빠른 속도다. 크라우드스트라이크는 이처럼 공격자가 SaaS 플랫폼 간 경계나 신원 시스템의 취약점을 교차적으로 공략하는 ‘영역 간 침투 트렌드’가 뚜렷해졌다고 강조했다.
보고서는 마지막으로 대응책도 제시하고 있다. 피싱에 강한 MFA 도입, 고위 계정의 격리, 고객지원 채널의 사회공학 방지 설계 강화가 핵심이다. 여기에 이상 행위를 실시간 감지할 수 있는 지속적 모니터링 체계 구축 역시 반드시 필요하다고 강조했다.
크라우드스트라이크는 이러한 복합적 위협에 대비하기 위해 방어적 접근을 넘어서 사전 탐지와 정보 공유의 중요성을 강조하며, 기업과 정부 모두 위협 환경의 근본적 전환에 준비해야 한다고 덧붙였다.