기업을 겨냥한 '제로데이' 공격 비중이 역대 최고치를 기록, 사이버 보안 위협의 중심이 엔터프라이즈 인프라로 이동하고 있는 것으로 나타났다. 상업용 스파이웨어 제작업체의 공격 횟수가 국가 지원 해커 조직을 추월하고, 탈취한 지식 재산(IP)을 활용해 또 다른 취약점을 찾아내는 새로운 공격 패러다임도 등장했다.
6일 구글 클라우드 산하 구글 위협 인텔리전스 그룹(GTIG)이 발표한 '2025년 제로데이 공격 연례 보고서'에 따르면, 지난해 발생한 제로데이 공격은 총 90건으로 집계됐다.
제로데이는 특정 소프트웨어나 하드웨어의 보안 취약점이 발견된 후, 이를 보완하는 패치가 나오기 전에 이루어지는 사이버 공격을 말한다. 개발사가 문제를 인지하기 전이거나 해결책을 만드는 중이어서 기존 백신이나 보안 프로그램으로는 차단하기 어렵다.
지난해 수치는 역대 최다였던 2023년(100건)보다는 낮지만 2024년(78건)보다는 증가한 것이다. 이 중 48%가 엔터프라이즈 기술을 겨냥했으며, 기업 대상 공격의 취약점 개수와 비율은 역대 최고치를 경신했다.
공격 주체의 변화도 확인됐다. 과거에는 주로 특정 국가의 지원을 받는 해커 조직이 제로데이 공격을 주도했으나, 이번 보고서에서는 처음으로 상업용 감시 소프트웨어 제작 업체(CSV)에 의한 공격 횟수가 국가 지원 해커 그룹을 넘어섰다. 이는 해킹 기술의 상품화로 공격 수단에 대한 접근 권한이 확대되고 있음을 시사한다. 국가별로는 중국 연계 그룹이 에지 디바이스를 중심으로 가장 활발히 활동했으며, 2024년 5건의 공격을 수행했던 북한 연계 그룹은 지난해 감지된 사례가 없었다.
새로운 위협으로는 '지식 재산 탈취 기반의 무기화'가 꼽혔다. 공격자가 기업의 소스 코드나 개발 문서를 탈취한 뒤 이를 분석해 해당 소프트웨어의 새로운 제로데이 취약점을 찾아내고, 이를 다시 공격에 활용하는 방식이다. 보고서는 중국 연계 그룹의 '브릭스톰' 캠페인을 대표적 사례로 제시했다.
GTIG는 인공지능(AI) 기술이 2026년 보안 전쟁을 가속할 것으로 전망했다. AI가 취약점 발견과 공격 코드 개발 속도를 높임에 따라 방어자들의 대응 압박이 커질 것이라는 분석이다. 이에 대응해 방어자들 역시 AI 에이전트를 활용해 보안 결함을 선제적으로 찾아내고 패치 작업을 강화하는 전략에 집중할 것으로 예상된다.
최호 기자 snoop@etnews.com
