
ZDNET을 팔로우하세요: 우리를 선호 소스로 추가하세요 Google에서.
ZDNET의 주요 시사점
- AI는 공격자가 그 어느 때보다 빠르게 취약점을 악용하도록 돕고 있습니다.
- 이제 대부분의 클라우드 공격은 취약한 타사 소프트웨어를 표적으로 삼고 있습니다.
- 기업에는 자동화된 AI 기반 방어가 필요합니다.
배심원단은 대부분의 기업이 조직에 AI를 구현함으로써 측정 가능한 이점을 얻을 수 있는지 여부에 대해 아직 판단하지 않았으며, 시간이 지남에 따라 논쟁이 더욱 치열해질 가능성이 높습니다.
그러나 적어도 한 부문은 AI 시대에 막대한 생산성 향상을 거두고 있습니다. 사이버 범죄자는 취약점을 활용하여 가장 취약한 클라우드의 비즈니스를 공격하는 데 그 어느 때보다 더 성공적입니다.
또한: 혼돈의 AI 요원? 새로운 연구에 따르면 봇과 대화하는 봇이 어떻게 옆으로 빠르게 이동할 수 있는지 보여줍니다.
이것이 바로 Google의 보안 조사관 및 엔지니어로 구성된 군대가 최근 발표한 보고서의 결론이며, 출판 전에 제가 검토할 수 있었던 것입니다. 구글 클라우드 보안은 2025년 하반기 관찰 결과를 바탕으로 “취약점 공개와 대량 악용 사이의 간격이 몇 주에서 며칠로 대폭 무너졌다”고 결론지었습니다.
보고서는 AI 기반 공격에 맞서 싸우는 가장 좋은 방법은 AI 강화 방어라고 결론 내렸습니다. “정보를 찾기 위해 대상을 조사하려는 AI 지원 시도와 데이터 중심 절도에 대한 지속적인 위협 행위자의 강조와 함께 이러한 활동은 조직이 더욱 자동화된 방어로 전환해야 함을 나타냅니다.”
타사 코드를 통해 몰래 들어감
요즘 Google의 보고서에 따르면 보안 위협은 Google Cloud, Amazon Web Services, Microsoft Azure와 같은 서비스의 핵심 인프라를 대상으로 하지 않습니다. 가치가 높은 목표는 보안이 잘 되어 있습니다. 대신, 위협 행위자(특히 북한의 범죄 조직과 국가 후원 요원을 모두 포함하는 정중한 이름)는 제3자 코드의 패치가 적용되지 않은 취약점을 공격하는 것을 목표로 하고 있습니다.
또한: AI가 사이버 보안을 쓸모없게 만들까요, 아니면 실리콘 밸리가 다시 조립하게 될까요?
보고서에는 피해자의 이름이 언급되지 않은 공격에 대한 여러 가지 자세한 사례가 포함되어 있습니다. 그 중 하나는 웹사이트와 모바일 앱에서 사용자 인터페이스를 구축하는 데 사용되는 인기 있는 JavaScript 라이브러리인 React Server Components의 심각한 원격 코드 실행(RCE) 취약점을 악용하는 것과 관련이 있습니다. 이러한 공격은 취약점(CVE-2025-55182, 일반적으로 React2Shell이라고 함)이 공개된 지 48시간 이내에 시작되었습니다.
또 다른 사건은 공격자가 특정 검색 문자열을 전송하여 원격 서버에서 임의 코드를 실행할 수 있도록 허용하는 인기 있는 XWiki 플랫폼(CVE-2025-24893)의 RCE 취약점과 관련이 있습니다. 해당 버그는 2024년 6월에 패치되었지만 패치는 널리 배포되지 않았으며 공격자(암호화폐 채굴 조직 포함)는 2025년 11월부터 이를 본격적으로 악용하기 시작했습니다.
또한: AI의 무서운 새로운 수법: 단지 도움을 주는 대신 사이버 공격을 수행하는 것
특히 흥미진진한 계정에는 UNC4899로 알려진 북한 출신의 국가 후원 공격자 집단이 포함되어 있습니다. 이들은 Kubernetes 워크로드를 장악하여 수백만 달러의 암호화폐를 훔쳤습니다. 익스플로잇이 발생한 방법은 다음과 같습니다.
UNC8499는 의심하지 않는 개발자가 오픈 소스 프로젝트 공동 작업을 구실로 아카이브 파일을 다운로드하도록 목표로 삼고 유인했습니다. 개발자는 Airdrop을 통해 개인 장치에서 회사 워크스테이션으로 동일한 파일을 전송한 직후였습니다. 피해자는 AI 지원 IDE(통합 개발 환경)를 사용하여 아카이브의 콘텐츠와 상호 작용하고 결국 내장된 악성 Python 코드를 실행했습니다. 이 코드는 Kubernetes 명령줄 도구로 가장한 바이너리를 생성하고 실행했습니다. 바이너리는 UNC4899가 제어하는 도메인으로 신호를 보내고 위협 행위자가 피해자의 워크스테이션에 액세스할 수 있도록 하는 백도어 역할을 하여 효과적으로 기업 네트워크에 대한 발판을 제공했습니다.
또 다른 사건은 개발자의 GitHub 토큰을 훔쳐 Amazon Web Services에 액세스하고 AWS S3 버킷에 저장된 파일을 훔친 다음 원본을 파기하는 데 사용되는 손상된 노드 패키지 관리자 패키지로 시작되는 일련의 단계와 관련이 있습니다. 이 모든 일은 불과 72시간 만에 일어난 일이다.
정체성을 훼손하다
또 다른 주요 발견은 무차별 대입 공격을 통해 취약한 자격 증명을 공격하는 대신 다양한 기술을 통해 신원 문제를 악용하는 방향으로 전환한 것입니다.
- 사례의 17%가 음성 기반 소셜 엔지니어링(Vishing)과 관련되어 있습니다.
- 12%는 이메일 피싱에 의존
- 21%는 제3자와의 신뢰할 수 있는 관계가 손상되었습니다.
- 21%는 도난당한 인간 및 인간이 아닌 신원을 활용하는 행위자
- 7%는 부적절하게 구성된 애플리케이션 및 인프라 자산을 통해 행위자가 액세스 권한을 얻은 결과입니다.
그리고 공격자가 항상 멀리서 오는 것은 아닙니다. 보고서는 직원, 계약자, 컨설턴트, 인턴을 포함한 “악의적인 내부자”가 기밀 데이터를 조직 외부로 보내고 있다고 지적합니다. 이러한 유형의 사고에는 Google Drive, Dropbox, Microsoft OneDrive 및 Apple iCloud와 같은 플랫폼에 구애받지 않고 소비자 중심의 클라우드 스토리지 서비스가 포함되는 경우가 점점 더 많아지고 있습니다. 보고서는 이를 “조직에서 데이터를 유출하는 가장 빠르게 성장하는 수단”이라고 부릅니다.
또한: OpenClaw는 보안의 악몽입니다. (너무 늦기 전에) 무시해서는 안되는 5가지 위험 신호입니다.
한 가지 불길한 점은 요즘 공격자들이 자신의 존재를 알리기 전에 즐거운 시간을 보내고 있다는 것입니다. “침입의 45%는 교전 당시 즉각적인 강탈 시도 없이 데이터 도난으로 이어졌으며, 이는 종종 장기간의 체류 시간과 은밀한 지속성이 특징이었습니다.”
기업은 자신을 보호하기 위해 무엇을 할 수 있나요?
보고서의 각 섹션에는 클라우드 인프라 보안을 위해 IT 전문가가 따라야 할 권장 사항이 포함되어 있습니다. 이러한 가이드라인은 Google Cloud 고객을 위한 구체적인 조언과 다른 플랫폼을 사용하는 고객을 위한 보다 일반적인 지침이라는 두 가지 카테고리로 깔끔하게 구분됩니다.
또한: AI 출시? 비즈니스에서 실수할 수 없는 5가지 보안 전술과 그 이유
보안 책임이 있는 대규모 조직의 관리자라면 해당 조언을 주의 깊게 읽고 기존 보안 조치에 추가할 가치가 있습니다. 그런데 중소기업은 어떻게 해야 할까요?
- 모든 소프트웨어 응용 프로그램, 특히 타사 개발자의 응용 프로그램이 자동으로 업데이트되도록 하여 패치 작업을 강화하세요.
- 다단계 인증을 사용하고 승인된 사용자만 관리 도구에 액세스할 수 있도록 보장하여 ID 및 액세스 관리를 강화합니다.
- 비정상적인 활동과 데이터 이동을 식별하기 위해 네트워크를 모니터링합니다. 여기에는 외부로부터의 공격뿐만 아니라 내부 위협도 포함됩니다.
- 침입의 첫 징후가 나타나면 사고 대응 계획을 준비하십시오. 처음 몇 시간은 매우 중요한 시간이 될 수 있으며, 준비가 되어 있지 않으면 서둘러 조사 및 격리 자원을 모으는 데 며칠이 걸릴 수 있습니다.
직원 중에 보안 전문가가 없는 소규모 기업의 경우 가장 좋은 솔루션은 필요한 기술과 경험을 갖춘 관리형 서비스 제공업체를 찾는 것입니다. 공격자가 이미 성공한 후에 검색을 시작하고 싶지는 않을 것입니다.