대규모 해킹 사고가 잇따랐던 지난해 유출된 개인정보를 악용한 2차 피해가 올해 일어날 가능성에 대해 정부가 경고하며 면밀한 주의를 당부했다. 일상에서 흔히 사용되는 인공지능(AI) 서비스가 해킹돼 의도하지 않은 오작동이나 정보 노출 가능성이 커지는 것도 주된 사이버 위협으로 꼽혔다.
과학기술정보통신부와 한국인터넷진흥원(KISA)은 27일 ‘2025년 사이버 위협 동향’과 ‘2026년 전망 보고서’를 발표했다.
2023년부터 2025년까지 반기별 침해사고 신고 현황을 살펴보면 2023년 상반기 664건-하반기 613건, 2024년 상반기 899건-하반기 988건이며, 2025년 상반기 1034건-하반기 1349건의 침해사고 신고가 있었다. 2025년 상반기는 전년 동기대비 15% 증가한 반면, 하반기 침해사고 신고 건수는 1349건으로 전년 동기대비 37% 증가했다.
◇생활 인프라부터 AI까지, 확산되는 사이버 공격 전망
지난해 국내에서 발생한 대규모 해킹사건을 살펴보면 △1월-GS리테일(GS25 홈페이지) 9만명 개인정보 유출 △2월-GS샵 e커머스 158만명 개인정보 유출 △3월-올리브영(CJ그룹) 4000건 이상 개인정보 유출 △4월-SK텔레콤 유심(USIM) 서버 2696만명 유심 정보 유출 △5월-일부 지방은행 내부망 침해 △6월-수십만명 학습 데이터 유출 △7월-대형 병원 의료정보 시스템 수십만명 환자 기록 유출 △8월-게임사 넥슨 계정 침해 시도 △9월-공공기관 클라우드 서버에서 수만 건 행정 데이터 유출 △10월-쿠팡 수백만 명 개인정보 유출 △11월-게임사 넷마블 수백만 명 게임 계정·결제정보 유출 △12월-중소기업 다수 동시 공격-수천 건 기업 데이터 유출 등이 있다.
2025년 유형별 침해사고 신고 통계를 살펴보면 디도스 공격(588건)이 전년(285건) 대비 약 2배로 급격히 증가했으며, 랜섬웨어 공격(274건)도 전년(195건) 대비 40.5%로 높게 증가했다. 전체 유형별 비중은 서버해킹이 44.2%로 가장 높았으며, 그다음으로 디도스 공격이 24.7%, 악성코드 감염이 14.9%로 나타났다. 디도스(DDoS)란 분산 서비스 거부 공격(Distributed Denial of Service)의 약자로, 여러 대의 컴퓨터가 동시에 특정 서버에 접속·요청을 보내 서비스를 못 쓰게 만드는 방식을 말한다.
지난해의 사이버 위협을 분석해 보면 △일상을 위협하는 생활 밀접 인프라에 대한 침해사고 △오픈소스 및 저가형 IoT 생태계를 악용한 공급망 공격 △랜섬웨어 공격 대상 확대와 기업-고객 연계 공격 강화 등의 특징이 있다. 또 올해의 사이버 위협 전망으로는 △AI 기반 사이버 위협 및 AI 서비스에 대한 사이버 공격 증가 △EOS(End of Support, 지원종료)와 방치된 미사용 시스템이 해킹 통로로 악용 △클라우드 환경의 취약 요소 공격 증가 △유출된 개인정보를 악용한 2차 사이버 위협 등이 있을 것으로 분석했다.
지난해 랜섬웨어 감염의 전체 침해 사고 중 비중은 11.5%(274건)로 재작년과 비슷했지만, 발생 건수는 10.3%(192건) 증가했다. 랜섬웨어 피해를 신고한 곳들의 백업률은 지난해 상반기 76.8%, 하반기 78.6%로 증가하는 추세였지만, 지난해 상반기 피해의 44.4%, 하반기 피해의 23.2%가 백업 정보까지 감염된 것으로 파악됐다.
◇AI 기반 사이버 공격 확산과 현행 대응체계의 한계
올해 사이버 위협 전망으로는 △AI 기반 사이버 위협과 AI 서비스에 대한 사이버 공격 증가 △종료된 정보기술 서비스·방치된 시스템의 해킹 통로 악용 △클라우드 환경의 취약 요소 공격 증가 △유출된 개인정보를 악용한 2차 사이버 위협이 꼽혔다.
지난해 4월 SK텔레콤(SKT), 9월 KT, 11월 쿠팡에서 일어난 보안 사고로 유출된 대규모 개인정보가 다양한 경로를 통해 사이버 범죄자 손에서 수집·결합할 경우 보이스피싱이나 스미싱 등 보다 지능화된 2차 공격에 활용될 가능성이 제기됐다. 특히 지난해 대규모 해킹 사태의 연속은 AI가 사이버 공격에 사용되며 전면화할 사이버 전쟁의 전초전 성격으로 분석됐다.
보고서 전문가 칼럼에서 이원태 국민대 특임교수(전 KISA 원장)는 "전문가의 관점에서 지난해 발생한 사건들이 가장 무서운 이유는 AI 공격이 아니었기 때문"이라고 말했다.
또 강은성 서울여대 지능정보보호학부 교수는 현행 침해사고 대응체계의 문제점에 대해 “모든 침해사고에 대해 신고 요건과 제재가 동일하고, 사고기업의 신고와 동의 없이는 침해사고 대응 활동이 이뤄지기 어려우며, KISA의 침해사고 분석 인력이 부족하고, CTI(Cyber Threat Intelligence, 사이버 위협 인텔리전스)의 축적과 공유에 관한 문제, 최고급 인력이 투입된 침해사고 분석 서비스가 ‘무료’로 제공되는 점” 등을 꼽았다.
강 교수는 이어 침해사고 대응체계 개선을 위해 △침해사고 신고 의무 위반에 대해 제재는 차등 적용되는 것이 바람직하다 △적절한 요건을 갖추면 사고기업의 신고나 동의 없이도 침해사고를 조사·분석할 수 있도록 할 필요가 있다 △사고기업의 원인 분석 의무를 강화할 필요가 있다 △KISA 침해사고 분석 인력을 확충해야 한다 △KISA가 CTI를 축적·관리·공유하는 체계를 갖추는 것이 좋겠다 △전문적인 침해사고 분석이 가능한 기업이 많이 생길 수 있도록 제도를 갖춰야 한다 등을 제언했다.
보고서는 올해 딥페이크 음성·영상 기반 피싱이 실시간 음성 통화 및 화상회의로까지 확대될 가능성을 짚었다. 아울러 오픈AI 챗GPT(ChatGPT), 구글 제미나이(Gemini) 등 일상적으로 사용되고 있는 AI 서비스 자체를 대상으로 삼는 공격도 본격화할 것으로 예상했다.
공격자들이 챗봇, 자동 분석 시스템, 보안 AI 등에 악의적인 내용을 주입하거나 학습 데이터를 조작해 의도하지 않은 오작동이나 정보 노출을 유도할 수 있다고 우려했다. 특히 기업이나 기관에서 자체 구축한 AI에 침투할 경우 기밀 정보 유출도 가능해 AI 모델 해킹이 새로운 정보 유출 경로가 될 수 있어서다.
보고서는 AI를 악용한 사이버 공격은 기존 탐지 방식으로는 대응이 어려운 만큼, 비정상적인 코드 생성 행위를 식별할 수 있는 새로운 탐지 체계가 요구된다고 강조했다. 또 딥페이크 음성 및 영상 기반 피싱에 대응하기 위해 실시간 인증 기술과 AI 기반 위조 탐지 알고리즘의 고도화와 함께 거대언어모델(LLM) 입력·응답 과정을 상시 모니터링하고 모델 접근 권한과 로그를 중앙에서 관리하는 것이 필요하다고 제언했다.
이밖에도 가장 필수적인 방어를 위한 핵심은 “AI 방어 자동화와 인간 분석가의 결합”이라며 “AI로부터의 위협을 AI와 사람이 함께 방어할 때 최적의 효과를 낸다”고 강조했다.
