교묘해지는 사이버 공격... 악성 코드 없이 공격하는 '고스트 해커' 등장

[더퍼블릭=양원모 기자] 악성 코드 한 줄 없이 기업 시스템을 파고드는 '고스트 해커'의 등장으로 전 세계 사이버 보안 체계에 비상이 걸렸다. 이들은 정상적인 명령어와 업무용 소프트웨어만으로 네트워크에 침투해 기존 보안 솔루션을 무력화시키고 있다.

카리슈마 아스타나 크라우드스트라이크 수석 프로덕트 마케팅 매니저는 18일(현지 시각) 미국 필라델피아에서 열린 'AWS 리인포스 2025' 콘퍼런스에서 "보안 직원이 커피 한 잔 하고 오는 새 클라우드 시스템 전체가 망가질 정도로 치밀한 공격이 이어진다"며 "공격자들의 평균 침입 시간이 1분 이내로 단축됐다"며 위기감을 드러냈다.

특히 기업의 필수 보안 장비인 가상 사설망(VPN)이 주요 공격 통로로 악용되고 있다는 지적이다. SK쉴더스 침해사고대응팀 탑서트(Top-CERT)가 밝힌 자료에 따르면 올해 1분기 발생한 해킹 사고 중 53.4%가 VPN 취약점을 노린 공격이었다. 시스코, 주니퍼 등 주요 VPN 벤더 장비 모두가 이런 공격에 노출된 상태다.

해커들의 공격 방식은 더 교묘해지고 있다. 파일질라(FileZilla), 애니데스크(AnyDesk) 등 업무에 널리 쓰이는 소프트웨어로 위장한 악성 도구를 시스템에 설치하는 방식이다.

SK쉴더스 관계자는 "이런 소프트웨어는 업무에서 흔히 쓰이므로 보안 시스템이 악성 행위로 탐지하지 못한다"고 설명했다. 해커들은 VPN을 통해 기업 내부에 들어와 마치 내부 직원처럼 활동하며 장기간 시스템에 머물며 정보를 유출한다.

벤자민 맥인니스 크라우드스트라이크 수석 테크니컬 마케팅 매니저는 콘퍼런스에서 실제 사례도 공개했다. 그는 "공격자가 깃허브 저장소에 노출된 키 하나로 AWS의 가상 서버와 파일 저장소에 침입했다"며 "이는 기존 보안 솔루션이 정상 명령을 활용한 공격을 식별하기 어렵다는 점을 보여준다"고 말했다.

크라우드스트라이크 내부 조사 결과에 따르면 보이스피싱은 전년 대비 442%, 자격 증명을 거래하는 '접근 브로커' 활동은 50% 증가했다. 아스타나 매니저는 "이런 침입은 실시간 식별이 불가능해 방어자 부담이 크다"고 지적했다.

전문가들은 자동화된 보안 시스템이 가장 확실한 대응책이라고 입을 모으고 있다. 맥인니스 매니저는 해결책으로 AI 에이전트 기반 보안 자동화 솔루션 '샬럿AI'를 제시했다. 해당 솔루션은 행위 기반 분석으로 악성 코드 없는 공격까지 인식하고, 침입 탐지부터 분석·대응까지 전 과정을 실시간으로 수행한다.

VPN 보안 강화를 위해서는 3대 조치가 제안된다. 첫째, 제조사 취약점 패치를 신속히 적용하기. 둘째, 직원 계정에 업무에 필요한 최소한의 권한만 부여해 피해 범위를 제한하기. 셋째, 비밀번호 단일 인증 대신 다중 인증(MFA)을 도입하기다. 

맥인니스 매니저는 "보안 관제를 넘어 침입 탐지부터 실시간 대응까지 자동화된 시스템이 유일한 방어 수단"이라고 결론지었다.

더퍼블릭 / 양원모 기자 ilchimwang@naver.com