클라우드플레어: 사이버 범죄, 산업 규모로 급성장

클라우드플레어(Cloudflare Inc.)가 최근 발표한 보고서에 따르면 사이버 범죄는 이제 완전한 '산업 규모'에 도달했으며, 공격자들은 인터넷의 개방성과 클라우드 및 SaaS 플랫폼의 연결성을 무기로 활용해 이전보다 더 신속하고 효율적으로 움직이고 있다고 경고하고 있다.

2026년 클라우드플레어 위협 보고서는 전 세계 인터넷 트래픽의 20%를 처리하고 하루에 2,340억 건 이상의 위협을 차단하는 네트워크의 데이터에 기반하여 작성되었다. 이 보고서는 2026년에는 기술적으로 우아한 취약점을 추구하기보다는 ‘효율성 측정’에 중점을 둔 위장된 공격이 증가할 것이라고 예측한다. 예를 들어, 'GRUB1'으로 추적된 캠페인에서는 공격자가 신뢰할 수 있는 SaaS 간 연결을 손상시키고 생성 AI를 사용해 복잡한 기업 플랫폼을 실시간으로 탐색했다. 이러한 공격자는 단일 통합을 다중 테넌트 침해로 전환시켜 공급망에 영향을 주기도 했다.

보고서는 대규모 언어 모델이 공격 체인 전반에 걸쳐 새로운 힘을 발휘하고 있다고 강조했다. 이러한 모델은 피싱 미끼를 대규모로 생성하고, 전문 기업 소프트웨어의 지식 격차를 해소하며, 취약점 개발을 가속화하는 데 활용되고 있다.

메일은 여전히 주요 진입점으로 남아 있으며, 링크 기반 피싱이 데이터 집합에서 가장 많이 탐지된 유형이었다. 클라우드플레어의 데이터에 따르면, 검사된 이메일의 거의 절반이 DMARC 검증을 통과하지 못했고, 이는 지속적인 인증 격차로 지적된다. 클라우드플레어는 이러한 약점을 활용하여 산업화된 피싱-as-a-service 운영이 활성화되고 있다고 지적한다. 이들은 다이내믹 토큰을 사용해 다중 요소 인증을 우회할 수 있는 인프라를 제공하고 있다.

보고서는 DDOS 공격이 더욱 대규모화되고 빠르게 변하고 있음을 강조한다. 이른바 '하이퍼볼류메트릭' 공격은 초당 31.4Tbps 이상의 기본 공격 속도로 시작되어 반응 시간을 거의 제로로 압축하고 있다.

한편, 주요 공격자 중에는 국가 차원의 공격도 포함되어 있다. 보고서는 중국과 관련된 것으로 추정되는 'Salt Typhoon' 및 'Linen Typhoon' 같은 그룹이 북미의 통신, 정부 및 IT 서비스를 우선적으로 공격 대상으로 삼아 장기적으로 중대한 기반 시설에 대한 선제적 공격을 준비하고 있다고 밝혔다.

클라우드플레어는 이러한 위협에 대처하기 위해 방어자들이 자동화된 시스템 수준의 복원력으로 전환해야 한다고 주장한다. "조직은 반응 중심의 인프라 방어에서 탈피해, 사전 예방적이고 신원 중심의 복원 모델로 전환해야 한다"라고 클라우드플레어 연구진은 밝혔다. 이들이 제안한 방안 중에는 DMARC, 보낸이 정책 프레임워크, 도메인키 식별 메일 같은 이메일 인증 표준의 엄격한 집행, 과도 권한이 부여된 API 키와 SaaS 간 통합에 대한 통제 강화, 생체 인식 인증과 원격 액세스 도구를 위한 지오펜싱을 포함한 제로 트러스트 원칙 확대 등이 포함된다.