보안 인사이트
김인순
2025. 5. 9.
“클라우드 권한 남용 심각한 보안 취약점으로 부상”
SANS인스튜티트, 기업을 위협하는 새로운 사이버 공격 기법 TOP5 발표
클라우드와 SaaS 환경에서 사용자 권한이 중복되거나 과도하게 부여되는 '권한 남용' 현상이 심각한 보안 취약점으로 부상했다. AI 도입이 가속화되며 공격자들은 AI 규제 환경의 복잡성을 악용해 조직을 위협한다.
글로벌 사이버 보안 교육기관인 SANS 인스티튜트(SANS Institute)는 미국 샌프란시스코에서 열린 세계 최대 보안 행사 RSAC2025에서 ‘기업 환경을 위협할 5가지 신흥 사이버 공격 기법(The 5 Emerging Cyber Attack Techniques Poised to Disrupt Enterprises in 2025)’을 공개했다. SANS 인스티튜느는 매년 공격 기법을 발표한다.
올해 발표는 클라우드 환경의 권한 남용부터 산업제어시스템(ICS)을 겨냥한 파괴적 공격, 인공지능(AI) 규제 리스크까지 다양한 분야를 포괄했다.
1. 클라우드 및 SaaS 환경의 권한 남용(Authorization Sprawl in Cloud and SaaS Environments)
SANS 펠로우인 조슈아 라이트(Joshua Wright)는 클라우드 및 SaaS 환경에서 사용자 권한이 중복되거나 과도하게 부여되는 '권한 남용' 현상이 심각한 보안 취약점으로 부상하고 있다고 경고했다.
요즘 많은 회사들이 클라우드 서비스를 이용한다. 그런데 클라우드를 더 많이 쓸수록 '누가 어디까지 접근할 수 있는지' 관리하기가 어렵다.
특히 문제가 되는 건, 어떤 직원이 여러 시스템에서 너무 많은 권한을 갖고 있는 경우다. 이렇게 되면 해커가 눈치 못 채게 그 권한을 몰래 이용해 공격할 수 있다.
게다가, 회사가 사용하는 클라우드가 여기저기 나뉘어져 있어서 누가 어디에 접근하고 있는지 제대로 파악하기도 힘들다. 이 경우 공격을 빨리 알아차리기 어렵고, 대응하는 데도 시간이 오래 걸린다.
SANS는 이런 문제를 해결하려면, 회사는 웹 브라우저 수준에서 보안을 강화하고, 클라우드 여러 곳을 한눈에 볼 수 있는 시스템을 만들어야 한다고 제안했다. 또, 누가 뭘 했는지 기록을 꼼꼼히 남기는 습관을 들여야 한다고 덧붙였다. 이렇게 하면 사고가 났을 때 어떻게, 왜 생겼는지 추적할 수 있고, 빠르게 대처할 수 있다.
2. 산업 제어 시스템을 겨냥한 랜섬웨어(ICS Ransomware)
SANS의 ICS 및 SCADA 프로그램 기술 책임자인 팀 콘웨이(Tim Conway)는 랜섬웨어 공격자들이 점점 더 중요 인프라를 표적으로 삼고 있다고 밝혔다. 주로 랜섬웨어 공격자는 금전을 목적으로 하는 사이버 범죄집단이다. 이들이 사회적 파급효과가 큰 ICS 가동 중지를 인질로 삼는 사례가 늘고 있다.
요즘 해커들은 전기, 수도, 교통 같은 중요한 시설을 노린다. 최근 이런 시설은 사람이 하던 일을 자동화 시스템으로 바꾸는데 한창이다.
그런데 이 과정에서 물리적 문제가 생겼을 때 수동으로 복구하는 방법을 없애는 경우가 발생한다. 시스템이 한번 멈추면 다시 켜는 방법이 없어서 전체가 멈춰 버리는 것이다.
해커들은 이런 약점을 노려서, 시설 전체를 마비시킬 수 있다.
더 큰 문제는 IT팀과 OT팀(현장 설비 담당)간 소통 부제다. 해킹 사고가 나도 서로 협력하지 못하면 빨리 막을 수 없고, 피해가 커진다.
공장이나 발전소 같은 산업 시설을 가진 회사들은 보안과 복구 계획을 함께 세우고, IT팀과 OT팀이 같이 움직일 수 있는 시스템을 만들어야 한다. 전체 회사가 함께 대응하는 전략을 갖춰야 랜섬웨어 공격을 막을 수 있다.
3. 파괴적인 산업 제어 시스템 공격(Destructive ICS Attacks)
사이버범죄 집단은 물론 국가 지원 공격자도 점점 더 물리적 피해를 유발하는 파괴적 공격에 집중하고 있다. 발전소, 정수장, 철도 시스템 같은 실제 설비를 조종하는 시스템(ICS)을 공격해서 사람들에게 직접 피해를 주려고 한다.
이들은 눈에 잘 안 띄는 아주 작은 기술적 틈을 찾아내서 안전 시스템을 조작한다. 예를 들어, 온도 조절 장치를 망가뜨리거나, 자동 정지 기능을 꺼버리는 식이다. 그러면 폭발이나 화재 같은 큰 사고로 이어질 수 있다.
최근 스페인과 포르투갈에서 발생한 대규모 정전 사태는 이러한 ICS 사이버 공격의 위험성을 여실히 보여준다.
2025년 4월 28일, 스페인과 포르투갈 전역에서 발생한 대규모 정전은 약 60%의 전력 공급이 5초 만에 사라지면서 시작됐다. 이로 인해 병원, 공항, 철도 등 주요 인프라가 마비돼 국가가 혼란에 휩싸였다.
이 사건의 원인이 조사중이지만 ICS를 노린 사이버 공격이 이같은 혼란을 초래할 수 있음을 여실히 보여줬다.
이런 위협은 점점 더 진화하고 있기 때문에, 기존의 악성코드 방어만으로는 부족하다. 이제는 실제 운영에 영향을 줄 수 있는 현실 세계의 위협(kinectic threat)에 대비해야 한다.
제어 시스템을 더 잘 들여다볼 수 있는 감시 체계를 만들고, 지금 쓰는 안전 규칙이 정말 잘 작동하는지 다시 점검해야 한다. 경영진까지 포함된 비상 대응 계획을 세워야 한다. IT와 데이터 보안을 넘어서 사람의 생명과 사회의 안전을 지키는 전략이 필요하다.
4. 포렌식 증거 인멸(Erased Forensic Artifacts)
요즘 공격자는 자신들이 남긴 흔적(디지털 기록)을 일부러 안 남기거나, 지워버린다.
이런 흔적은 사고가 난 뒤 어떤 일이 있었는지 알아보는 데 꼭 필요하다. 그런데 흔적이 없으면, 보안팀은 해커가 어디서 들어왔는지, 얼마나 많은 정보를 빼갔는지 알아내기 어렵다. 그래서 대응이 늦어지고, 피해가 커질 수 있다.
하지만, 많은 회사들은 아직도 옛날 방식의 탐지 시스템만 쓰고 있어서 이런 새로운 해킹에 제대로 대응하지 못한다.
기업은 중요한 정보를 잘 기록하게 시스템을 설정해야 한다. 최신 디지털 포렌식 도구(DFIR)를 도입해서 정밀하게 조사할 수 있는 기반을 만든다. 팀원들이 흔적이 적은 상황에서도 조사할 수 있는 훈련도 필요하다.
이런 준비를 해둬야, 해킹이 일어나도 빠르게 원인을 파악하고 막을 수 있다.
5. AI 규제 준수 위협(AI Regulatory Threats)
AI가 사이버 보안에 점점 더 많이 쓰이면서, 새로운 위험도 생기고 있다. 바로 법을 지키는 문제다.
보안팀은 AI를 이용해 해킹이나 위험을 더 빨리, 더 정확하게 찾아낼 수 있다. 그런데 일부 나라에서는 AI가 사람들을 어떻게 감시하는지를 문제 삼는 규제를 만들고 있다. 이런 규제가 생기면, AI를 활용한 감시 방법이 불법이 될 수 있다.
이런 상황은 해커에게는 유리하고, 보안팀에게는 불리할 수 있다. 해커는 AI를 자유롭게 쓰지만, 보안팀은 법 때문에 마음대로 쓰지 못할 수 있기 때문이다.
기업은 AI를 안전하게 쓰면서도 법을 지키는 방법을 미리 준비해야 한다. 그래야 보안도 잘 지키고, 법에 걸리는 일도 피할 수 있다.
기업 리더에게 꼭 필요한 전략적 과제
SANS가 RSAC 2025에서 발표한 사이버 공격 기술들을 보면, 하나의 공통된 메시지가 있다. 이제 사이버 보안은 보안 부서만의 일이 아니라, 회사 전체가 함께 책임져야 할 문제라는 것이다.
다가올 사이버 위협은 더 똑똑하고 복잡해서, 모든 부서가 협력하고 빠르게 대응해야 막을 수 있다. 정보를 잘 보고(가시성), 빠르게 움직이며(민첩성), 부서 간에 소통하고 함께 일하는(협업) 통합적인 전략이 꼭 필요한 시점이다.
