HPE, '사이버 보고서' 첫 발표...해커, 정부기관 공격 1순위
글로벌 엔터프라이즈 컴퓨팅기업 미국 HPE가 첫 사이버 위협 연구 보고서 '인 더 와일드(In the Wild)'를 발표했다. 이 보고서는 현대 사이버 공격자들이 전 세계 산업 및 주요 공공 부문에서 대규모로 활동하는 방식에 나타난 변화를 담았다. 30일 회사에 따르면, 2025년 한 해 동안 세계적으로 관찰된 실제 위협 활동에 대한 HPE의 분석에 따르면, 최근 사이버 범죄는 점차 산업화하는 추세다. 사이버 공격자들은 자동화 기술과 오래된 방치형 취약점을 이용해 활동의 규모를 확장하고 있으며, 방어 체계가 미처 가동되기도 전에 고부가가치 산업을 대상으로 지속적으로 공격하고 있다. 따라서 기업은 이러한 공격적인 위협을 효과적으로 방어하고 네트워크 내 디지털 신뢰를 유지하는 것을 최우선 비즈니스 과제로 삼아야 한다고 제안했다. 또 보고서는 현재 글로벌 사이버 위협 환경을 '규모, 조직, 속도'라는 세 가지 키워드로 정의했다. 2025년 1월 1일부터 12월 31일 사이 전 세계적으로 발생한 1186건의 실제 사례를 분석한 결과, 사이버 위협 생태계는 전문성과 자동화, 그리고 전략적 표적화를 바탕으로 빠르게 진화하고 있다. 특히 공격자들은 재사용 가능한 인프라와 기존 취약점을 활용해 고부가가치 산업을 정밀하게 노리고 있다. 무니르 하하드(Mounir Hahad) HPE 위협 연구소(HPE Threat Labs) 총괄은 "이번에 발간한 보고서는 통제된 실험실 환경에서의 이론적 테스트가 아닌 실제 위협 활동에 기반을 두고 있으며, 오늘날 기업들이 매일 직면하는 현실을 정확히 반영한다"며 "진행 중인 실제 공격 활동에서 공격자가 어떻게 행동하고, 적응하며 어느 부분에서 성공을 거두는지 면밀히 포착했다"고 설명했다. 이어 그는 "이러한 현장 관찰과 인사이트를 통해 탐지 및 보호 기능을 강화함으로써, 고객에게 데이터와 인프라, 운영에 영향을 미칠 가능성이 높은 위협을 보다 명확히 보여준다. 갈수록 조직화되고 집요해지는 공격에 맞서 더 강력한 보안과 빠른 대응력, 향상된 복원력을 갖출 수 있도록 지원한다"고 강조했다. 현대 위협 활동을 가속화하는 산업적 규모 공격 인프라 보고서를 통해 HPE 위협 연구소는 공격 규모 증가와 함께 공격 전술 및 기법이 한층 정교해졌음을 확인했다. 국가의 지원을 받는 스파이 그룹 및 대규모 사이버 범죄 조직을 포함한 위협 주체들은 점차 글로벌 대기업과 유사한 방식으로 작전을 운영하고 있다. 이들은 명확한 계층적 지휘 체계와 전문화된 조직을 기반으로, 광범위한 산업화된 공격 인프라를 신속하게 구축하며, 기업 내에서 널리 사용되는 업무용 애플리케이션 및 문서 구조에 대해 매우 높은 이해도를 보이고 있다. 세계적으로 가장 집중적으로 타깃이 된 분야는 정부 기관으로, 연방·주·지방 자치단체 전반에서 총 274건의 공격이 확인됐다. 이어 금융 및 기술 부문이 각각 211건과 179건으로, 공격자들이 고부가가치 데이터 탈취와 금전적 이득을 최우선 목표로 삼고 있음을 보여준다. 국방, 제조, 통신, 의료 및 교육 기관 역시 주요 타깃으로 나타났다. 종합하면 공격자들은 국가 핵심 인프라, 민감 데이터, 경제적 안정성과 직결된 부문을 전략적으로 우선 공략하고 있으나, 결국 그 어떤 산업 분야도 사이버 위협의 안전지대가 될 수 없음을 시사한다. 작년 한 해 동안 14만 7000개 이상 악성 도메인과 약 5만 8000개의 멀웨어 파일을 배포했으며, 549개의 취약점을 적극적으로 악용했다. 전문화된 사이버 범죄는 공격 실행 패턴의 예측 가능성은 높였지만, 동시에 작전의 일부 요소를 차단하더라도 전체 공격 활동이 중단되지 않은 경우가 많아 위협을 근본적으로 무력화하기는 더욱 어려워졌다. 공격 속도와 파급력을 극대화하는 자동화 및 AI 툴 공격자들은 작전 속도와 파급력을 극대화하기 위해 새로운 기술도 발 빠르게 도입하고 있다. 일부 조직은 텔레그램(Telegram)과 같은 플랫폼상에서 자동화된 '어셈블리 라인(assembly line)' 방식의 워크플로우를 구축해 탈취한 데이터를 실시간으로 외부로 유출했다. 또한 생성형 AI를 활용해 정교한 음성 합성과 딥페이크 비디오를 제작해 표적형 비디오 피싱 및 기업 임원 사칭 사기 범죄에 악용하기도 했다. 한 랜섬웨어 갈취 조직의 경우, 침투 전략 최적화를 위해 사전에 가상사설망(VPN) 취약점에 대한 시장 조사까지 수행하는 치밀함을 보였다. 이 같은 전술을 통해 위협 주체들은 전보다 훨씬 빠르고 광범위하게 표적에 액세스할 수 있었으며, 국가 인프라 및 주요 데이터, 경제 안정성과 직결된 부문에 역량을 집중했다. 범죄 운영 프로세스를 간소화하고 고부가가치 표적을 우선 공략함으로써, 돈의 흐름을 쫓는 전략을 기반으로 효율적인 금전적 이득을 추구했다. 사이버 복원력 강화를 위한 실질적 대응 방안 본 보고서는 효과적인 사이버 방어 체계가 단순히 최신 보안 솔루션을 추가하는 것보다 네트워크 전반에 걸친 유기적인 조정, 가시성 확보 및 신속한 대응력 향상에 달려 있음을 강조한다. 기업 및 조직은 전반적인 보안 태세를 강화하기 위해 다음의 실질적인 조치들을 취해야 한다고 짚었다. -사일로 현상 해소: 위협 인텔리전스를 기업 내 각 부서, 고객 및 산업 전반에 공유해 사일로 현상을 해소하고, SASE(Secure Access Service Edge) 방식을 도입해 네트워킹과 보안을 통합함으로써 공격 패턴을 조기에 탐지해야 한다. -주요 진입점 패치 및 취약점 차단: VPN, 쉐어포인트(SharePoint), 엣지 디바이스 등 주요 침입 경로에 패치를 적용해 노출 위험을 줄이고, 네트워크로 침투하는 데 자주 악용되는 경로를 차단한다. -제로 트러스트(Zero Trust) 원칙 적용: 제로 트러스트 원칙을 도입해 인증 프로세스를 강화하고 내부 확산을 제한하며, 제로 트러스트 네트워크 액세스(ZTNA)를 통해 액세스 권한을 부여하기 전 사용자와 디바이스를 지속적으로 철저히 검증해야 한다. -가시성 확보 및 AI 기반 대응력 강화: 위협 인텔리전스, 디셉션 기술, AI 네이티브 탐지 기능을 통해 가시성과 대응력을 높임으로써, 조직이 더욱 빠르고 정확하게 공격을 탐지·분석·대응할 수 있도록 지원한다. -기업 경계를 넘어선 보안 영역 확장: 기업 경계를 넘어 가정용 네트워크, 서드파티 툴, 공급망 환경까지 보안 범위를 확장한다. 이들 방식을 통해 조직은 더욱 신속히 대응하고 점점 더 조직적이고 집요해지는 공격에 대해 보다 효과적으로 대응할 수 있다. 네트워크 보호의 새로운 기준을 제시하는 통합 'HPE 위협 연구소(HPE Threat Labs)' HPE는 오랜 기간 쌓아온 전문성을 기반으로, 끊임없이 진화하는 위협 환경에 대응하기 위해 'HPE 위협 연구소'를 공식 출범했다. HPE 위협 연구소는 HPE와 주니퍼 네트웍스(Juniper Networks) 양사의 세계 최고 수준 보안 연구 인력과 위협 인텔리전스를 성공적으로 결합했다. 이를 통해 축적된 전문성과 더욱 방대해진 위협 데이터 풀을 바탕으로 실제 공격을 철저히 식별 및 추적하고, 악성 공격을 효과적으로 탐지 및 차단하는 데 필수적인 위협 인텔리전스를 HPE 솔루션 라인업에 직접 제공한다. 데이비드 휴즈(David Hughes) HPE 네트워킹 SASE 및 보안 부문 수석부사장 겸 총괄은 "HPE 위협 연구소는 최첨단 보안 연구 결과와 실제 현업의 보안 방어망 사이의 간극을 좁히기 위해 설립됐다"며, "이번 보고서는 현대 사이버 공격자들이 글로벌 대기업 수준의 체계와 규모, 효율성을 갖추고 작전을 수행하고 있음을 명확히 보여준다. 이에 대응하기 위해서는 동일한 수준의 치밀한 전략과 솔루션 통합 역량, 그리고 철저한 운영 체계가 뒷받침되어야 한다"고 밝혔다. 이어 “HPE 위협 연구소는 고도화된 위협 인텔리전스를 자사 제품군에 적용함으로써, 기업 고객들이 리스크를 줄이고 예기치 못한 비즈니스 중단을 최소화하며 기업의 핵심 운영 시스템을 안전하게 지켜낼 수 있도록 적극 지원하고 있다"고 덧붙였다. 조사 방법론 HPE 위협 연구소(HPE Threat Labs)는 다양한 인텔리전스 소스를 활용해 'HPE 위협 연구소가 발간한 2026년 사이버 위협 보고서(HPE Threat Labs 2026 In the Wild)'의 분석 결과를 도출했다. 전체 통계 데이터의 대부분은 주니퍼 어드밴스드 위협 방지 클라우드(Juniper Advanced Threat Prevention Cloud)의 고객 텔레메트리와 자체 구축한 글로벌 허니팟 네트워크에서 수집됐다. TCP, SSH, SMB 등 다양한 유형을 포함한 이 허니팟은 전 세계에 분산 배치되어 다양한 위협 활동을 포착한다. 또한 필요에 따라 오픈소스 위협 인텔리전스 저장소 및 일부 제3자 산업 협회의 맥락 데이터와 통계를 보완적으로 활용했다. 이번 보고서에 포함된 데이터는 2025년 1월 1일부터 12월 31일까지의 기간을 기준으로 한다.
