사이버 공격, '자격 증명'이 주요 경로로 급부상

사이버 공격의 방식이 본질적으로 변화하고 있다. 공격자들이 전통적인 보안을 뚫기보다는 훔친 '자격 증명'을 통해 시스템에 침투하는 사례가 증가하고 있다. 스위스 인공지능 기반 보안 회사 온티뉴의 최신 보고서는 이러한 현상을 강조하며, '아이덴티티'가 이제 주요 공격 경로로 자리 잡았다고 분석했다. 이러한 변화는 조직들이 보안 전략을 새롭게 고민하게 만들고 있다.

2026년에 공격자들은 악성코드 사용이나 소프트웨어 취약점 악용 대신, 합법적인 자격 증명과 통합 시스템을 활용해 탐지를 피하고 있다. 이 새로운 트렌드는 정보 탈취형 악성코드의 급증에 기인한다. 이 악성코드는 브라우저 저장 비밀번호, 세션 쿠키, 인증 토큰 등을 수집해 데이터로 패키지화한 후, 암시장에 판매하는 형태로 이어지고 있다. 그 중 '룸마C2'로부터 유래한 자격 증명 목록 거래는 보고 기간 동안 72% 증가한 것으로 드러났다.

보고서는 또한 2025년 세계적으로 7,000건 이상의 랜섬웨어 사건이 보고됐으며, 120개 이상의 활동 란섬웨어 그룹이 존재한다고 밝혔다. 현대의 랜섬웨어 캠페인은 데이터 유출, 운영 방해, 서비스 거부 공격 등 다층적 협박 전략을 사용해 피해자의 대응을 최대한 약화시키는 데 중점을 둔다.

인공지능이 악성코드 개발에 영향을 미치기 시작하면서, 복구된 일부 샘플에는 대형 언어 모델과 일치하는 코딩 패턴이 발견됐다. 공급망과 소프트웨어 서비스 플랫폼 관련 위험도 증가하고 있으며, 공격자들이 개발 파이프라인 및 서드파티 공급자들을 간접적으로 통해 여러 조직에 접근하려는 시도가 늘고 있다.

온티뉴의 최고 보안 책임자인 크레이그 존스는 "오늘날 조직들은 범죄자들이 훔친 아이덴티티와 자동화를 이용해 전통적인 방어를 우회하는 현실에 직면해 있다"며, "사고를 방지하는 것만이 아니라, 빠른 위협 탐지와 결정적 대응, 사건 발생 시 운영 연속성을 유지하는 것이 사이버 회복력의 핵심"이라고 말했다.