“기업정보 탈취형 악성코드 급증”

구글 ‘글로벌 사이버 위협’ 발표
韓 등 JAPAC, 취약점 공격에 취약
취약점 공격 64%…세계 평균 2배
55% ‘금전적 동기’…금융업 위협↑

SK텔레콤 해킹 사태 혼란이 계속되는 가운데 기업의 시스템을 위협하는 ‘정보 탈취형(인포스틸러)’ 악성코드가 전 세계적으로 크게 늘어나고 있다는 경고가 나왔다.

또 한국을 포함한 아시아·태평양·일본 지역(JAPAC) 기업의 경우 초기 감염 경로로 ‘취약점 공격’이 악용된 비율이 전 세계 평균의 2배에 달하는 것으로 드러났다.

27일 구글 클라우드 산하 맨디언트는 이런 내용을 담은 ‘맨디언트 M-트렌드 2025(Mandiant M-Trends 2025)’ 보고서를 공개했다. ▶관련기사 2면

보고서에 따르면 공격자가 탈취한 자격 증명을 활용해 시스템에 침입하는 ‘인포스틸러 악성코드’ 공격이 증가하고 있는 것으로 나타났다.

실제 사이버 공격의 초기 감염 경로로, 공격자가 탈취한 자격 증명을 활용해 시스템에 침입하는 인포스틸러 악성코드가 이번 조사에서 처음으로 2위(16%)에 올랐다. ‘취약점 공격(33%)’에 이어 두 번째로 많다. 나머지 상위 5가지 감염 경로는 이메일 피싱(14%), 웹사이트 침해(9%), 이전 침해 사례(8%)다.

구글 클라우드는 자격 증명, 브라우저 데이터 등 민감한 정보를 탈취하는 ‘인포스틸러 악성코드’를, 기업의 시스템을 위협하는 주요인으로 꼽았다. 구글 클라우드는 “위협 행위자들은 인포스틸러 로그에서 탈취한 자격 증명을 이용해 시스템에 초기 침투하고 이는 데이터 탈취, 갈취 및 기타 위협 활동으로 이어진다”고 말했다. 그 사례로 사이버 공격 그룹인 UNC5537가 인포스틸러 악성코드로 탈취한 자격 증명을 이용해 스노우플레이크(Snowflake)의 고객 데이터베이스를 공격한 일을 언급했다. 그 결과 방대한 양의 자격 증명이 인포스틸러 마켓플레이스에 유통된 경우도 있었다.

한국을 비롯한 JAPAC 지역은 가장 흔한 초기 감염 경로로 꼽힌 ‘취약점 공격’에도 특히 약했다. JAPAC의 ‘취약점 공격’ 비중은 64%로 전 세계 평균 수치(33%)보다 두배 가까이 높았다.

이와 함께 지난해 탐지된 위협 그룹의 과반수가 금전적 동기(55%)를 지닌 것으로 나타났다. 지난 2022년(48%), 2023년(52%) 수치와 비교했을 때 꾸준히 상승하고 있는 수치다. 반면 간첩 활동을 목적으로 한 위협 그룹의 비중(8%)은 지난해(10%) 대비 소폭 감소했다. 가장 많이 표적이 된 산업은 금융 서비스(17.4%)로 지목됐다. 비즈니스·전문 서비스(11.1%), 첨단 기술(10.6%), 정부(9.5%), 의료(9.3%)가 그 뒤를 이으며 예년과 유사한 양상을 보였다. 기업이 공격을 인지한 경로도 조사됐다. 조직 중 57%는 외부 기관을 통해 공격을 처음 인지했으며, 나머지 43%는 조직 내부적으로 파악한 것으로 드러났다.

심영섭 구글 클라우드 맨디언트 컨설팅 한국·일본 지역 총괄은 “사이버 침해 사고의 70%가량이 외부 기관에 의해 탐지돼, 조직 내부 보안 역량의 개선이 필요하다”고 강조했다. 차민주 기자