본 보고서는 2025년 한 해 동안 국내외에서 확인된 해킹 및 개인정보 유출 사고는 총 147건에 달하며, 이는 단발성 침해를 넘어 조직화·캠페인화된 사이버 공격이 상시화 단계에 진입했음을 보여준다. 본 보고서는 해당 사고 데이터를 기반으로 월별·산업군별 위협 양상을 분석하고, 2026년 보안 전략 수립을 위한 데이터 기반 인사이트 제공을 목적으로 한다.
분석 결과, 2025년 9월에 전체 사고의 약 1/3이 집중적으로 발생하는 이례적 현상이 확인되었으며, 특히 금융권을 중심으로 한 랜섬웨어 기반 정보탈취 및 다크웹 공개형 공격 캠페인이 연쇄적으로 관측되었다. 이는 개별 취약점 악용을 넘어, 사전 침투–장기 잠복–대량 유출–동시 공개로 이어지는 정교한 공격 시나리오가 본격화되었음을 시사한다.
2025년을 대표하는 주요 대형 사고로는
SK텔레콤(SKT) 장기 침투형 공격에 따른 USIM 관련 정보 유출,
KT 소액결제 피해 사건에서 펨토셀 해킹과 연계된 IMSI 유출 공식 인정 및 전국 단위 피해 확산(278건·약 1억7천만 원),
SGI서울보증 랜섬웨어 감염으로 인한 전산 시스템 마비 및 금융 서비스 중단,
롯데카드 온라인 결제 서버 침해 및 대규모 개인정보 노출 정황,
쿠팡 고객 개인정보 대량 유출 정황(수천만 명 규모),
GA 법인보험대리점 관리자페이지 침해 화면 다크웹 유포 사건이 있다.
특히 GA 법인보험대리점 사건은 실제 데이터 유출 규모와 별개로, 관리자 페이지 접근 통제 실패 또는 계정 탈취 정황이 시각적 증거(침해 화면 캡처) 형태로 다크웹에 공개되었다는 점에서 상징성이 크다. 이는 공격자가 단순 침입을 넘어 “관리자 권한 확보 가능성” 자체를 협박·신뢰도 훼손 수단으로 활용하는 최근 공격 트렌드를 잘 보여주는 사례다. 또한 보험대리점 특성상 다수 보험사 시스템과의 연계 구조를 갖고 있어, 공급망·연계 시스템 확산 위험을 동반한다는 점에서 금융권 전반의 구조적 취약성을 드러냈다.
아울러 DDoSecrets 공개 자료를 통해 드러난 대한민국 정부기관 대상 해킹 사례에서는 온나라시스템 침해 정황을 포함해 김수키(Kimsuky)로 알려진 북한 계열 조직 및 중국 APT와의 연계 가능성이 제기된 공격 흔적이 다수 확인되었다. 이는 금전 목적 범죄와는 달리 **정보 수집·정찰 중심의 국가 배후형 공격(Activity)**이 2025년에도 지속되었음을 보여준다.
이들 주요 사고의 공통점은 ① 외부 침투 이후 내부 핵심 시스템(인증·결제·업무·행정·관리자 페이지) 접근 가능성, ② 침해 인지 시점과 실제 공격 개시 시점 간의 시차, ③ 데이터 탈취 이후 다크웹 공개·금전 범죄·평판 공격으로의 확장, ④ 민간·금융·통신·공공을 아우르는 공격 표면의 동시 확대라는 특징을 보인다.
종합적으로 2025년 해킹 사고는
특정 시기·산업군 집중 현상,
랜섬웨어와 정보탈취의 결합,
다크웹 공개 및 실질 금전 피해 연계,
관리자 페이지·계정 탈취를 통한 신뢰도 공격 증가,
통신 인프라 및 국가 핵심 시스템까지 확장된 공격 범위,
장기 잠복형·APT 성격 공격 증가 라는 여섯 가지 핵심 특징으로 요약된다.
이는 2026년 보안 전략 수립 시, 단순한 보안 솔루션 확충을 넘어 관리자 계정·접근통제 강화, 인증 체계 재점검, 위협 인텔리전스 기반 선제 탐지, 통신·금융 연계 구간 보호, APT 대응 체계 고도화가 구조적으로 요구됨을 강하게 시사한다.
2. 2025년 사이버 위협의 6대 핵심 특징
2025년에 발생한 147건의 사고를 개별적으로 분석하는 것을 넘어, 그 이면에 흐르는 거시적인 패턴을 파악하는 것은 매우 중요합니다. 이는 방어자가 한정된 자원으로 가장 시급하고 중요한 위협에 효과적으로 대응할 수 있도록 전략적 우선순위를 설정하는 데 필수적인 나침반 역할을 합니다. 분석 결과, 2025년의 사이버 위협은 다음 여섯 가지 핵심 특징으로 요약할 수 있습니다.
2.1. 특정 시기·산업군 집중 현상
전체 사고의 약 3분의 1이 9월 한 달에 집중적으로 발생했습니다. 이는 공격자들이 특정 시점에 동시다발적인 캠페인을 전개했음을 시사합니다. 특히 금융권을 중심으로 랜섬웨어와 정보 탈취 공격이 연쇄적으로 발생하며 특정 산업군에 대한 표적 공격이 심화되었음을 보여주었습니다.
2.2. 랜섬웨어와 정보탈취의 결합
SGI 서울보증 사례에서 명확히 드러났듯이, 공격은 더 이상 데이터를 암호화하고 금전을 요구하는 데 그치지 않습니다. 이제 공격자들은 데이터를 암호화하기 전에 먼저 핵심 정보를 외부로 빼돌린 후, 이를 다크웹 등에 공개하겠다고 협박하는 '이중 갈취(Double Extortion)' 수법을 일반적인 공격 모델로 사용하고 있습니다.
2.3. 다크웹 공개 및 실질 금전 피해 연계
탈취된 데이터나 침해 증거를 다크웹에 공개하여 기업의 평판을 훼손하고 협상력을 높이는 전략이 보편화되었습니다. 특히 쿠팡과 롯데카드 사례에서 수천만 명 규모의 개인정보가 유출된 정황이 포착되었으며, KT 소액결제 사건처럼 유출된 정보가 곧바로 전국 단위의 직접적인 금전 피해(278건, 약 1억 7천만 원)로 이어지며 공격의 최종 목표가 '수익화'에 있음을 분명히 했습니다.
2.4. 관리자 페이지·계정 탈취를 통한 신뢰도 공격 증가
GA 법인보험대리점 사건은 새로운 공격 트렌드를 상징적으로 보여줍니다. 실제 유출된 데이터의 규모와 무관하게, 공격자는 '관리자 권한을 확보했다'는 사실 자체를 시각적 증거(화면 캡처)와 함께 제시하며 기업의 신뢰도를 공격하고 이를 협박의 수단으로 활용했습니다.
2.5. 통신 인프라 및 국가 핵심 시스템까지 확장된 공격 범위
공격 표면은 민간 기업을 넘어 국가의 근간을 이루는 핵심 기반시설로 빠르게 확장되었습니다. SKT, KT 등 주요 통신사의 인프라와 정부의 전자결재 시스템인 '온나라시스템'까지 공격 대상에 포함되면서, 사이버 위협이 사회 전반의 안정성을 위협하는 수준에 이르렀음을 경고합니다.
2.6. 장기 잠복형·APT 성격 공격 증가
다수의 사고에서 실제 공격이 시작된 시점과 기업이 침해 사실을 인지한 시점 사이에 상당한 시간적 격차가 존재했습니다. 이는 공격자가 초기 침투에 성공한 후 즉시 활동하지 않고, 시스템 내부에 장기간 잠복하며 정보를 수집하고 공격을 준비하는 '지능형 지속 위협(APT, Advanced Persistent Threat)' 형태의 공격이 증가했음을 의미합니다.
이처럼 다각적이고 복합적인 위협의 특징들은 방어 전략 역시 단편적인 대응을 넘어서야 함을 시사합니다. 다음 장에서는 주요 공격 유형별 대표 사례를 더욱 심도 있게 분석하여 공격의 구체적인 작동 방식을 살펴보겠습니다.
3. 주요 공격 벡터별 심층 분석 및 사례 연구
이론적인 위협 동향 분석을 넘어 실제 발생한 사건을 깊이 있게 들여다보는 것은 최신 공격 기법의 구체적인 작동 방식과 그 파급력을 이해하는 데 결정적입니다. 본 장에서는 2025년을 대표하는 주요 침해 사고들을 공격 벡터별로 분류하여, 실질적인 위협 시나리오를 제시하고자 합니다.
3.1. 관리자 권한 탈취 및 공급망 위협: GA 법인보험대리점 사건
GA 법인보험대리점의 관리자 페이지가 해킹되었음을 보여주는 화면 캡처가 다크웹에 유포되었습니다. 이 사건의 핵심은 실제 데이터 유출 규모가 아니라, 공격자가 **'관리자 권한을 확보할 수 있다'**는 가능성 자체를 증명하며 이를 협박과 기업 신뢰도 훼손의 도구로 활용했다는 점입니다. 이는 방어 시스템의 기술적 허점뿐만 아니라 관리 체계의 약점을 직접적으로 공격하는 새로운 트렌드를 보여주는 상징적인 사례입니다.
또한, 법인보험대리점은 다수의 보험사 시스템과 데이터를 연계하여 운영되는 구조적 특징을 가집니다. 이는 한 곳의 침해가 연쇄적으로 파급되어 금융권 전체의 **공급망 리스크(Supply Chain Risk)**로 확산될 수 있다는 점을 입증했으며, 공급망이 이미 입증된 공격 벡터(Proven Attack Vector)임을 확인시켜 주었습니다.
3.2. 통신 기반시설 침투 및 금융 피해 연계: KT 및 SKT 사건
KT 소액결제 피해 사건은 통신 인프라 침해가 어떻게 대규모 금융 피해로 직결될 수 있는지를 명확히 보여주었습니다. 공격자는 소형 기지국인 '펨토셀'을 해킹하여 가입자의 고유 식별 정보인 IMSI(International Mobile Subscriber Identity)를 탈취했고, KT가 공식 인정한 이 유출 정보를 악용해 전국적으로 278건, 약 1억 7천만 원 규모의 금전적 피해를 유발했습니다.
이와 함께 SKT 사건에서 제기된 장기 침투형 공격 및 USIM 관련 정보 유출 정황은 통신 인프라의 가장 핵심적인 정보가 공격의 표적이 되고 있음을 시사합니다. 이는 단순 개인정보 유출을 넘어 통신망 전체의 신뢰도를 위협할 수 있는 심각한 잠재적 위협입니다.
3.3. 국가 배후형 APT 공격: 정부기관 침해 사례
정보 공개 사이트 'DDoSecrets'를 통해 대한민국 정부기관을 대상으로 한 해킹 정황이 공개되었습니다. 이 자료에서는 정부 전자결재 시스템인 '온나라시스템'의 침해 정황과 함께, '김수키(Kimsuky)'로 알려진 북한 연계 해킹 그룹 및 중국 연계 APT 그룹의 공격 흔적이 다수 확인되었습니다.
이러한 공격들은 직접적인 금전적 이득보다는 정보 수집 및 정찰 활동을 주목적으로 하는 **국가 배후형 공격(Nation-State Sponsored Activity)**의 전형적인 특징을 보입니다. 이는 2025년에도 금전 목적의 사이버 범죄와 더불어, 국가 안보를 위협하는 고도의 APT 공격이 꾸준히 지속되고 있음을 증명합니다.
3.4. 랜섬웨어 기반 금융 시스템 마비: SGI 서울보증 사건
SGI 서울보증은 랜섬웨어 공격으로 인해 전산 시스템이 마비되는 심각한 피해를 겪었습니다. 이 사건은 랜섬웨어 공격이 단순히 데이터를 암호화하는 것을 넘어, 핵심 금융 서비스 자체를 중단시키는 **업무 마비(Business Disruption)**를 초래할 수 있음을 보여주었습니다. 이는 기업의 데이터 자산뿐만 아니라 비즈니스 연속성 자체를 위협하는 치명적인 공격 형태입니다.
지금까지 살펴본 구체적인 사례들은 저마다 다른 피해 양상을 보이지만, 그 기저에는 공통적인 공격 단계가 존재합니다. 다음 장에서는 이러한 공격들의 전체적인 흐름, 즉 '공격 라이프사이클'을 분석하여 방어 전략의 핵심을 도출해 보겠습니다.
4. 2025년 공격의 공통 TTPs 및 라이프사이클 분석
다양한 산업군에서 발생한 개별 공격 사례들은 서로 무관해 보이지만, 그 이면에는 공격자들이 공통적으로 따르는 전술, 기술, 절차(TTPs)가 존재합니다. 이러한 공격의 라이프사이클을 단계별로 구조화하여 분석하는 것은, 방어자가 공격의 흐름을 예측하고 각 단계에서 효과적인 방어 전략을 수립하는 데 핵심적인 역할을 합니다. 2025년의 주요 공격들은 '사전 침투–장기 잠복–대량 유출–동시 공개'라는 정교한 시나리오를 따르며, 이는 다음과 같은 4단계로 구분할 수 있습니다.
1단계: 초기 침투 및 장기 잠복 (Initial Compromise & Persistence)
공격의 첫 단계는 외부에서 내부 시스템으로 조용히 침투하는 것입니다. 그러나 2025년의 공격자들은 침투 직후 즉시 활동을 개시하지 않습니다. 대신, 탐지를 피하기 위해 시스템 내부에 숨어 수개월에서 길게는 1년 이상 활동 없이 잠복하는 특징을 보입니다. '침해 인지 시점과 실제 공격 개시 시점 간의 시차'가 크다는 점은 전형적인 APT 공격의 성격을 명확히 보여줍니다.
2단계: 내부 이동 및 핵심 시스템 접근 (Lateral Movement & Core System Access)
잠복 기간 동안 공격자는 내부 시스템의 구조를 파악하고 정찰 활동을 벌입니다. 이들의 최종 목표는 기업의 가장 중요한 자산이 보관된 핵심 시스템입니다. 다수의 사례에서 공격자들은 성공적으로 내부망을 이동하여 인증 서버, 온라인 결제 시스템, 핵심 업무 시스템, 그리고 관리자 페이지와 같은 핵심 디지털 자산에 대한 접근 권한을 확보합니다.
3단계: 데이터 탈취 및 공격 무기화 (Data Exfiltration & Weaponization)
핵심 시스템에 접근한 공격자는 공격의 목적에 따라 데이터를 외부로 유출합니다. 쿠팡, 롯데카드 사례에서 확인된 것과 같이 수천만 명 단위의 개인정보를 대규모로 탈취하거나, SKT 사례처럼 USIM 관련 정보와 같은 통신 인프라의 핵심 데이터를 빼돌립니다. 이 단계에서 탈취된 데이터는 다음 단계에서 사용할 공격의 '무기'가 됩니다.
4단계: 영향 극대화 및 수익화 (Impact & Monetization)
마지막 단계에서 공격자는 탈취한 데이터를 기반으로 공격의 영향을 극대화하고 이를 수익으로 연결합니다. 이 과정은 다양한 형태로 나타납니다. SGI 서울보증 사례처럼 랜섬웨어를 이용해 시스템을 마비시키고 업무를 중단시키거나, GA 법인보험대리점 사건처럼 다크웹 공개를 통해 기업 평판을 공격하고 협박합니다. 그리고 KT 소액결제 사건처럼 탈취한 정보를 이용해 직접적인 금전 피해를 유발하며 공격을 마무리합니다.
이처럼 정교하게 단계별로 진행되는 공격 라이프사이클에 대응하기 위해서는 단편적인 보안 솔루션 도입을 넘어선, 공격의 전체 흐름을 이해하고 각 단계를 차단할 수 있는 구조적인 전략이 필요합니다. 마지막 장에서는 이를 바탕으로 2026년 보안 전략 수립을 위한 핵심 권고안을 제시합니다.
5. 결론: 2026년 보안 전략 수립을 위한 핵심 권고안
2025년의 사이버 위협 환경 분석은 우리가 과거의 방어 패러다임에서 벗어나 새로운 관점의 전략을 수립해야 함을 강력히 시사합니다. 공격은 더욱 조직적이고, 장기적이며, 비즈니스의 핵심을 직접적으로 겨냥하고 있습니다. 이에 따라 2026년 보안 전략은 다음의 구조적인 강화 방안을 반드시 포함해야 합니다.
5.1. 관리자 계정 및 접근통제 강화
GA 법인보험대리점 사례에서 보듯, 관리자 권한 탈취는 공급망 전체를 뒤흔들 수 있는 치명적인 결과를 낳습니다. 관리자 계정에 대한 접근 정책, 권한 관리, 비정상 행위 모니터링 체계를 최우선 순위로 강화해야 합니다.
5.2. 인증 체계 전면 재점검
대부분의 대형 사고에서 공격자들은 초기 침투 이후 비교적 용이하게 내부 핵심 시스템으로 이동했습니다. 이는 현재의 인증 체계가 더 이상 유효하지 않음을 의미합니다. 다단계 인증(MFA)의 전면 적용을 포함하여, 반드시 제로 트러스트(Zero Trust) 아키텍처 관점에서 전면 재설계해야 합니다.
5.3. 위협 인텔리전스 기반의 선제적 탐지
장기간 잠복하는 APT 공격에 대응하기 위해 '이미 침해되었을 수 있다'는 가정하에 위협을 찾아 나서는 능동적인 방어 체계가 필요합니다. 최신 공격 그룹의 TTPs 정보를 활용하는 위협 인텔리전스를 기반으로, 잠재적 위협을 선제적으로 탐지하고 제거하는 '위협 헌팅(Threat Hunting)' 역량을 반드시 확보해야 합니다.
5.4. 공급망 및 연계 시스템 보안 강화
통신사와 금융사, 보험사와 대리점 간의 시스템 연계 구간이 새로운 공격 통로로 악용되고 있습니다. 자사뿐만 아니라 협력사까지 아우르는 공급망 전반의 보안 수준을 점검하고 공동 대응 체계를 구축하는 것은 더 이상 선택이 아닌 필수 과제입니다.
5.5. APT 대응 체계 고도화
국가 배후형 공격이 꾸준히 지속되고 있음이 확인된 만큼, 단기적인 금전 목적의 범죄뿐만 아니라 장기적이고 지속적인 APT 공격에 대응할 수 있는 전담 조직과 프로세스를 고도화해야 합니다. 이는 단순 기술 도입을 넘어 조직의 역량과 문화를 함께 발전시켜야 하는 과제입니다.
궁극적으로 2025년의 위협들은 **'보안이 더 이상 IT 부서만의 책임이 아니라, 조직 전체의 생존과 직결된 경영 아젠다'**임을 명백히 보여주고 있습니다. SGI 서울보증의 시스템 마비 사태는 사이버 공격이 단순한 데이터 유출을 넘어 비즈니스 연속성을 직접적으로 위협함을 증명했으며, 이는 보안이 최고 경영진과 이사회가 직접 관리해야 할 핵심 과제임을 시사합니다. 성공적인 2026년을 위해서는 기술, 프로세스, 사람이 유기적으로 결합된 구조적 대응 체계를 마련하는 데 모든 역량을 집중해야 할 것입니다.