2024년 사이버 공격의 주된 수단은 더 이상 정교한 악성코드나 제로데이 취약점이 아니었다. 사이버 범죄자들은 단지 로그인만으로도 방어망을 뚫었고, 그 중심에는 바로 ‘신원 기반 공격’이 있었다는 분석이 나왔다. 시스코 시스템즈(CSCO) 산하 보안 조직 탈로스(Talos)는 최근 연례 보고서를 통해, 작년 발생한 보안 인시던트의 60%가 사용자 인증정보 탈취나 계정 오용 등 신원을 파고든 공격에서 비롯됐다고 밝혔다.
이번 보고서는 전 세계 193개 지역에 배포된 4,600만 개 이상의 장비에서 수집한 데이터, 하루 8,860억 개 이상의 보안 이벤트를 분석해 작성됐다. 공격자들은 더 이상 자체 제작하거나 새롭게 개발된 툴을 사용하지 않고, 기업 또는 기관 내부에서 이미 사용 중인 합법적인 도구와 오래된 취약점을 활용해 침투에 성공했다. 여기엔 수십 년 된 보안 결함도 포함됐다.
특히 랜섬웨어 공격과 다중 인증 우회(MFA Bypass)에는 신원 침해가 거의 필수적인 전제조건이었다. Active Directory(AD)를 직접 노린 사례는 전체 신원 기반 공격의 44%에 이르렀고, 클라우드 API를 통한 위협도 20%를 차지해 클라우드 환경의 확산과 함께 신원 보안의 중요성을 방증했다.
공격 동기를 살펴보면, 데이터 인질극을 통한 금전 갈취가 50%로 가장 많았고, 인증정보 수집 및 재판매가 32%, 사이버 스파이 행위와 금융 사기 목적의 침해도 각각 10%와 8%로 뒤를 이었다. 주목할 점은 MFA의 취약성이 이러한 공격 확대를 뒷받침했다는 점이다. 기업 내부 VPN에 MFA를 적용하지 않았거나, 이용자에게 반복적으로 푸시 알림을 날려 결국 클릭을 유도하는 ‘MFA 피로도 공격’이 공통된 문제로 지목됐다.
MFA 공격 대상은 시트릭스 시스템즈, 마이크로소프트(MSFT), 포티넷(FTNT) 등 대표적인 IAM(Identity and Access Management) 플랫폼 공급사의 솔루션이 지배적이었다. 이렇듯, 단순히 비밀번호를 강화하는 수준으로는 현대적 보안 위협을 막기 어렵고, ID 권한 관리 전반에 걸친 정교한 접근이 필수라고 보고서는 강조했다.
한편, 2024년엔 인공지능을 활용한 해킹은 제한적이었으며, AI는 주로 소셜 엔지니어링 및 자동화 영역에서 효율성을 높이는 데 쓰였다. 생성형 AI를 이용한 피싱 이메일, 음성 위조 등은 공격 방식으로 자리잡기 시작했지만, AI 자체가 본격적인 보안 요소로서 이용된 사례는 아직 많지 않다. 다만 탈로스는 2025년에는 자율 에이전트형 AI 공격이 좀 더 본격화되고, AI 훈련 데이터와 시스템 자체를 노린 공격 사례가 급증할 수 있다고 경고했다.
AI와 클라우드 채택이 확대되는 가운데, 보안이 신원 관리에서 시작된다는 점은 이제 더 이상 선택의 문제가 아니라 생존을 위한 필수 요건으로 자리매김하고 있다.