인공지능의 확산, 클라우드 전환, 원격 근무의 보편화는 우리 조직의 경계를 흐릿하게 만들었습니다. 공격자는 더 빠르고 조용해졌고, 유출된 자격증명은 공급망과 자동화 도구를 타고 순식간에 번져 나갑니다. 2025년 현재 우리가 직면한 핵심 질문은 분명합니다. 어디에서 위험이 커지고 있으며, 무엇을 먼저 바꿔야 하는가. 아래에서 최근 흐름과 국내 주요 사고, 그리고 개인과 조직이 바로 실행할 수 있는 대책을 하나의 선으로 묶어 제시합니다.
2025년 사이버 보안 위기의 핵심 흐름은?
2025년 사이버 보안 위기의 핵심 흐름은 데이터 침해의 증가, 악성코드의 고도화, 그리고 크리덴셜 스터핑의 확산이 주도하고 있다. 전년 대비 데이터 침해 건수는 약 15% 증가했고, 글로벌과 국내를 가리지 않고 클라우드 구성 취약점, 공급망 공격의 확산, 주요 업종의 대형 사고가 연쇄적으로 나타났다. 국내에서도 SK텔레콤 내부 데이터 유출 의심, 롯데카드 카드 데이터 이슈, 예스24 서비스 중단 등 굵직한 사례가 이어졌고 GS샵, KT, 정부 인증서 침해 사례도 보고되었다. 이러한 침해가 가능했던 배경에는 장기 잠복이 가능한 악성코드와 크리덴셜 스터핑의 작동 방식, 그리고 구형 시스템과 미패치 취약점의 누적이 있다. 이에 따라 개인은 2단계 인증과 개인정보 관리 강화, 기업은 진단 체계·백업·원격 근무 보안 재정비를 통해 대응 역량을 끌어올려야 한다.
전년 대비 데이터 침해 건수 15% 증가
2025년의 두드러진 특징은 전년 대비 데이터 침해 건수가 약 15% 늘었다는 점이다. AI 서비스 데이터 노출, 공급망 공격, 크리덴셜 스터핑 등 다각적 경로를 통해 대규모 침해가 잇따랐고, 고도화된 악성코드와 구형 시스템의 미패치 취약점이 결합되며 피해 규모가 커졌다. 대표 사례로 DeepSeek의 데이터 노출, Bybit 해킹으로 인한 대규모 암호화폐 손실, GitHub Actions를 겨냥한 공급망 공격, SK텔레콤의 장기 잠복 백도어, Yes24의 랜섬웨어 피해 등이 거론된다. 이 흐름은 클라우드 기본 보안, 인증 및 접근 제어, 패치 관리와 데이터 암호화의 중요성을 여실히 드러낸다.
고도화된 악성코드와 크리덴셜 스터핑의 확산
2025년의 공격은 자동화 도구와 클라우드 환경의 약점을 정밀히 파고들며 속도와 규모를 키우고 있다. 악성코드는 오랜 기간 잠복하며 은밀하게 데이터를 탈취해 자격증명을 수집하고, 이를 활용한 크리덴셜 스터핑으로 다수 서비스를 상대로 무차별 로그인 시도를 이어간다. 유출된 비밀번호·API 키·토큰의 재사용은 초기 침투를 쉽게 만들고, 공급망 공격처럼 외부 리소스에 저장된 자격증명도 위험 요소가 된다. 특히 GitHub Actions 관련 사례는 CI/CD(지속적 통합/지속적 배포) 파이프라인을 통해 악성 코드가 널리 확산될 수 있음을 보여 주며, 업계 전반의 비밀 관리와 권한 관리 허점을 부각시킨다. 대응의 핵심은 고도화된 MFA, 비밀 관리 도구의 활용, 지속적 취약점 관리다.
한국에서 큰 피해를 입힌 주요 사건은 무엇인가?
국내에서는 2025년 4월 SK텔레콤의 BPFdoor 백도어 사건이 특히 주목을 받았다. HSS 내부에 장기간 침투해 외부 C2와 지속적으로 통신했으며, IMSI/전화번호 등 민감 정보 유출 의혹이 제기되었다(전체 규모 약 9.82GB, 대응 및 고객 안내 진행, 보도: 로이터). 같은 해 6월에는 Yes24가 랜섬웨어 피해를 입어 주요 서버와 백업이 암호화되며 서비스가 약 36시간 이상 마비되었고, 이중 갈취 가능성도 거론되었다(기관 신고 및 복구 진행, 보도: SBS). 11월에는 업비트 모회사 두나무의 합병 발표 직후 대형 해킹이 발생해 솔라나 계열 자산을 포함한 다수 자산이 탈취되었고, 회원 피해 자산 약 386억 원, 업비트 피해 자산 약 59억 원이 공지되었다. 이 밖에도 2025년 3분기에는 통신사 IMSI/전화번호 유출(약 5,561명), 카드사 데이터 유출(약 297만 명) 등 사건이 이어지며 보안 거버넌스와 내부 가시성의 취약함이 크게 드러났다. 참고 자료: 보안 요약(캐치시큐).
SK텔레콤, 롯데카드, 예스24 사례 요약
- SK텔레콤: HSS 내부에 BPFdoor가 장기간 설치되어 외부 C2와 통신한 점이 핵심이며, 초기 침투 경로로 스피어 피싱과 노출된 서버 취약점이 지목되었다. 유출 가능 데이터는 IMSI, 전화번호, Ki, IMEI 등을 포함할 수 있었고, 전체 규모는 약 9.82GB로 보고되었다(보도: 로이터).
- 예스24: 2025년 6월 9일 랜섬웨어로 주요 서버와 백업이 암호화되어 약 36시간 이상 서비스 중단. KISA와 개인정보보호위에 신고했으며, 관리자 권한 복구 및 복구 작업이 진행되었다. 이중 갈취 가능성도 제기(보도: SBS).
- 롯데카드: 2025년 하반기 카드사 데이터 유출 맥락에서 웹로직 취약점 악용과 보안 거버넌스 부재가 지적되며 대규모 유출 위험이 강조되었다(요약: 캐치시큐).
이들 사례는 공통적으로 내부 가시성 부족, 백업·복구 체계 취약, 그리고 제로 트러스트 원칙의 미흡을 드러낸다.
다른 주요 사례: GS샵, KT, 정부 인증서 침해
GS샵과 KT 사건은 각각 고객 데이터 유출과 서비스 장애를 초래했고, 이어 보고된 정부 인증서 침해는 원격 근무 환경에서 인증 인프라 취약점을 선명히 드러냈다. 공통점은 외부 공격 자체보다 내부 관리 부실, 패치 지연, 인증서 관리 약화 등 거버넌스와 운영상의 허점이다. 필수 대응은 다음과 같다: 다층 인증 강화, 데이터 암호화, 접근 제어 고도화, 인증 인프라의 주기적 점검.
왜 이런 침해가 가능했나? 공격 기술과 취약점의 구조
침해는 다층적 공격 기술과 구조적 취약점의 결합에서 발생한다. 장기 잠복 악성코드와 크리덴셜 스터핑은 내부망에 오랫동안 머물며 탐지를 피하고 권한을 점진적으로 확장한다. 구형 시스템과 미패치 취약점은 공격자에게 손쉬운 진입로를 제공하고, 잘못 구성된 클라우드 저장소나 노출된 인증 정보는 민감 데이터의 외부 유출을 유발한다. 공급망 공격은 신뢰된 도구와 파이프라인을 경유해 대규모 확산을 가능하게 한다. 예컨대 SK텔레콤의 BPFdoor 백도어, Bybit의 AWS S3에 저장된 악성 자바스크립트를 통한 트랜잭션 개입, GitHub Actions 공급망 침해 등은 외부 리소스 관리의 취약성이 어떤 위험으로 이어지는지 잘 보여 준다. 또한 인증서 노출과 원격 접속 보안 약화는 원격 근무 환경에서의 추가 위험 요소로 작동했다.
장기 잠복 악성코드와 크리덴셜 스터핑의 작동 원리
장기 잠복 악성코드는 설치 이후에도 재부팅과 업데이트를 견디도록 지속성을 확보하고, 레지스트리·서비스 등록, 커널 모듈 주입, 부팅 로더 변조, 프로세스 위장 등으로 탐지 회피를 노린다. 확보된 접근 권한은 C2와의 지속적 통신을 통해 명령을 받고 데이터를 수집한다. 반면 크리덴셜 스터핑은 유출된 자격증명을 자동화로 서로 다른 서비스에 대입해 로그인 시도를 반복하며, IP 회전·프록시·CAPTCHA 우회 등으로 감지를 피한다. 두 공격 모두 합법적으로 보이는 행위와 정상 도구를 악용해 내부 가시성을 낮추고 탐지 체계의 한계를 파고든다. 핵심 대응 포인트는 다음 두 가지다: 1) MFA의 전면 도입과 비밀번호 재사용 금지, 2) 비밀 관리·권한 최소화·행위 기반 탐지의 결합.
구형 시스템과 미패치 취약점의 문제점
구형 운영체제나 지원이 종료된 소프트웨어는 이미 알려진 취약점을 상시 노출한다. 이로 인해 공격자는 낮은 비용으로 장기 침투와 데이터 유출을 노릴 수 있다. 실제로 SK텔레콤의 BPFdoor 사례에서는 내부망에 장기간 잔존한 통신 흔적이 확인되었고, 스피어 피싱·노출 서버 취약점이 초기 경로로 지목되었다. Yes24 랜섬웨어 사건은 구형 서버·백업 시스템의 보안 관리 부재가 재해로 이어질 수 있음을 보여 준다. 오래된 취약점(CVE-2017-10271 등)이 여전히 악용되고 있다는 사실은 최신 패치 체계가 얼마나 중요한지 일깨운다. 해결을 위해서는 전사 자산 가시성 강화, 체계적 패치·업그레이드, 그리고 보안 아키텍처 재설계(제로 트러스트 기반)가 필수다.
개인과 조직이 바로 실행할 수 있는 실천 전략
개인과 조직이 지금 즉시 실행할 전략은 크게 네 가지 축으로 정리된다.
1) 제로 트러스트와 내부 가시성 강화 — NAC/ZTNA와 EDR을 도입해 모든 단말·연결 지점을 식별하고 이상 행위를 차단한다.
2) 인증·접근 보강 — 다단계 인증(MFA)과 패스워드리스 도입을 우선하고, 비밀번호 관리 습관을 체화한다.
3) 데이터 보호와 백업 — 데이터 암호화를 기본으로 삼고, 백업 주기·복구 테스트를 정례화하며 원격 근무 환경에서도 안전한 네트워크를 보장한다.
4) 공급망 보안과 보안 운영 강화 — 오픈소스·외부 리소스 무결성 점검, 취약점 관리 자동화, 로그·포렌식 역량 강화와 상시 보안 교육을 결합한다.
개인은 MFA 활성화, 피싱 예방 습관, 의심 링크 차단 등을 즉시 실천하고, 조직은 보안 진단–배포 파이프라인 재정비와 백업/재해 복구 계획 점검으로 대응을 구체화해야 한다.
개인 보안 습관과 2단계 인증의 중요성
일상에서 지키는 기본 습관이 가장 강력한 방어다. 피싱에 속지 않는 습관, 비밀번호 재사용 금지, 정기적 업데이트와 보안 패치, 의심 링크 자제는 초기 침해를 차단하는 핵심 수단이다. 특히 2단계 인증(MFA)은 계정 탈취를 크게 줄이는 가장 효과적인 방법으로, OTP·인증 앱·생체 인식·보안키 등 다양한 방식이 있다. 여기에 비밀번호 관리 도구, 공용 와이파이 사용 시 VPN, 디바이스 암호화와 잠금 설정까지 더하면 피해를 크게 줄일 수 있다. 바로 적용해 볼 수 있는 안내: 2단계 인증 설정 가이드.
기업의 보안 체계 재정비: 진단, 백업, 원격 근무 보안
기업은 진단–백업–원격 보안을 통합 관점에서 다뤄야 한다.
- 진단: 자산 인벤토리, 구성 표준화, 취약점 관리, 로그 가시성 확보로 현재 방어 상태를 정량 파악.
- 백업: 3-2-1 원칙, 데이터 암호화, 오프라인·다중 매체 저장, 정기 복구 테스트로 랜섬웨어 리스크를 흡수.
- 원격 보안: 제로 트러스트 원칙에 따라 ZTNA 기반 검증된 접근, MFA, EDR, 패치 자동화를 결합.
더불어 공급망 보안, 최소 권한, 거버넌스와 실시간 모니터링 체계를 강화해 탐지–대응–복구 전주기를 촘촘히 연결해야 한다.
마무리
2025년의 위기를 요약하면 세 가지다. 데이터 침해의 지속적 증가, 악성코드와 크리덴셜 스터핑의 고도화, 그리고 구형·미패치 시스템의 집단적 취약성. 해법은 복잡하지 않다. MFA 전면화, 패치와 구성의 표준화, 백업·복구의 생활화, 공급망·자격증명 관리의 엄격화. 가장 큰 위험은 기술이 아니라 “나중에 하자”는 미루기다. 오늘의 작은 변경이 내일의 대형 사고를 막는다. 지금, 가장 먼저 MFA와 패치를 확인하자.