2025년 사이버 침해 사고 유형 TOP4

2025년 상반기 침해사고 중 랜섬웨어가 가장 높은 비중을 차지한 것으로 나타났다. 이어서는 포털사이트 피싱, 개인정보유출, 게시글 무단작성 순으로 발생했다.

블루데이타시스템즈에 따르면 2025년 상반기 침해사고 분석 결과 랜섬웨어가 가장 높은 비중을 차지했다. 랜섬웨어 유형은 포보스(Phobos) 계열, 록빗(Lockbit) 계열 유형이 가장 많았다.

랜섬웨어

랜섬웨어는 단순한 데이터 암호화에 그치지 않고 다각화 된 공격 방식으로 정교해 지고 있어 각별한 주의가 필요하다.

랜섬웨어 주요 침투경로는 이메일, 부주의에 의한 파일 다운로드, 운영하고 있는 시스템취약점, 자격증명 유출/탈취로 인해 감염된다. 주로 ‘DB 서버’ 또는 ‘웹서버’, ‘NAS’가 랜섬웨어에 감염된다. 또한 윈도우 정상 서비스인 ‘BitLocker’ 기능을 통해 암호화 랜섬웨어에 감염될 경우 대부분 금전을 요구한다.

미상의 경로를 통한 VPN 계정 탈취 후 내부 네트워크에 침입하여 AD 서버장악, 그룹정책 배포를 통한 도메인내 랜섬웨어 서버 2대, PC 20여대 감염 본사 업무망 대역 PC를 통한 내부 이동 후 내부 서버파일 암호화, AiLock 랜섬웨어 감염으로 주요 서비스에 장애를 일으켰다.

악성 웹사이트 유도

악성 웹사이트 유도는 사용자가 정당한 웹사이트에 접속하려고 할 때, 악성코드 감염 또는 DNS 설정 변경을 통해 악성 웹사이트로 유도해 불법광고를 노출하는 사이버 공격 유형이다.

주로 악성코드를 통한 DNS 설정 변경, 스케줄러 기능을 이용한 악성 스크립트 삽입, 호스팅 관리자 계정 탈취 후 DNS 설정변경, 그리고 DLL Side-Loading 공격 방식 등을 통해 이뤄진다.

공격자는 탈취한 메일 계정을 통해 거래처 메일 내용을 파악한 후 거래 대금 관련 내용 진행 시 거래 대금 계좌를 변경한 피싱 메일을 발송한다.

파일 업로드 취약점을 이용해 웹셀을 업로드한다. 이후 포털 사이트 관련 파일 업로드, 포털사이트 피싱 페이지로 악용한다.

정보 유출

공격자가 정보 탈취만 하는 경우 피해 기업서 자체적으로 인지하기 어려운 사례가 대부분이다. 공격자가 해킹포럼, 텔레그램 등 공개된 채널을 통해 해킹 사실을 알리거나, 피해 기업에게 직접 연락해 해킹 사실을 알림과 동시에 협상을 시도하는 시점 이후에 피해 기업이 인지한다.

정보 유출 침해사고로 인해 피해 기업은 핵심기술, 사업전략 노출로 인한 경쟁력 상실, 지속적인 경영 위협, 경제적인 손실 등 부정적인 영향을 받게 된다.

기술적 주요 원인은 취약한 접근통제 권한관리 오류로 인해 비인가 사용자가 내부 시스템이나 민감 데이터에 접근하는 사례가 빈번하다.

특히 관리페이지 노출 등으로 인해 정보가 쉽게 유출된다. 그중 SQL Injection 접근 사례가 빈번하게 발생하며, 관리 페이지 노출 등으로 인해 정보가 쉽게 유출된다. 취약한인증 및 세션관리 취약한 비밀번호 정책, 세션 하이재킹 등의 취약점을 통해 공격자가 인증체계를 우회해 내부 시스템에 접근하는 사례가 많다.

관리적 측면서 주요 원인은 취약한 보안 정책, 절차 인증, 접근 통제 정책 미흡, 취약점관리 프로세스가 부재한 경우다.

인적 요인으론 직원 실수 및 보안 인식 부족으로 인해 피싱 공격 등에 취약하다. 정기적인보안 교육이 이루어지지 않으면 보안사고 가능성이 커진다.

자원 부족의 경우 취약한 비밀번호정책, 세션 하이재킹 등 취약점을 통해 공격자가 인증체계를 우회해 내부 시스템에 접근하는 사례가 많다.

탐지 및 대응 체계 미비의 경우 데이터 및 자산에 대한 실시간 모니터링이 이뤄지지 않거나, 비인가 접근 발생 시 경고 체계가 부재해 침해 사고가 확대될 위험이 크다. 관리자 페이지 로그인 후 SQL 인젝션 공격을 통한 회원 개인정보 탈취 및 불법 해킹포럼(Breachforums)에 탈취한 개인정보를 유출 한다.

공격자는 미상 경로로 탈취된 구글 워크스페이스(WorkSpace) 계정을 통해 업무용 폴더에 접근한다. 그런 다음 권한 변경 및 업무용 폴더 문서를 다운로드한다. 이후 취약한 웹페이지에 SQL Injection 공격, 탈취한 데이터를 다크웹에 업로드한다.

문자 무단 발송

문자 무단 발송 경우 공격자는 문자 발송이 가능한 취약한 웹페이지를 통해 해당 서버에 저장된 개인정보를 활용해 문자를 무단 발송한다. 문자 발송 시 해당 서버에 저장된 개인정보 뿐만 아니라, 공격자가 이미 보유한 개인정보도 악용하여 불특정 다수에게 발송한다.

공격자는 문자 무단 발송을 위한 자체 페이지를 개발한다. 활용 문자발송시 적으면 1천, 많게는 5만 발송 건에 이르기까지 다양하다. 발송된 문자는 주로 불법 사이트 홍보를 위한 문자가 주를 이룬다.

해커는 관리자 페이지 접근 제어 부재, 미흡한 계정 관리 정책, 취약한 소스코드, 서버 내 DB 및 계정 정보 평문 저장 등을 통해 계정을 탈취한다. 이후 악성 파일을 업로드하고, 서버에 접근해 문자발송 에이전트를 실행시킨다.

이에 대응방안으로 김태성 블루데이타시스템즈 수석은 2025 상반기 침해사고 정보 공유 세미나에서 네트워크 보안, 데이터베이스 보안, 서버 보안 강화를 제시했다.

네트워크 보안은 독립 서버 운영, 네트워크 접근 통제, 네트워크 영역분리 운영, 통신 채널 보안을 강화해야 한다.

데이터베이스 보안은 계정 관리, 데이터베이스 사용자 계정 추가, 데이터베이스사용자 계정 삭제, 제너럴 로그(General Log) 설정, 슬로우 쿼리 로그(Slow Query Log) 설정, 데이터베이스 로그 관리를 철저히 해야 한다.

서버 보안은 계정관리, 인증 및 세션 관리가 중요하다.

Related Materials

• 2024 사이버 보안 위협 분석과 전망 - KISA, 2024년
• 2024 사이버 위협 동향 보고서, 2024년
• 최신 사이버위협 동향 및 대응 방안 분석 | 정책총서 | 보고서, 2024년
• 2023년 하반기 사이버 위협 동향 보고서 - KISA, 2023년

랜섬웨어 공격자들, 비즈니스 파트너 아니다

💡Editor Pick - 랜섬웨어 피해자 절반 가까이 몸값 지불 - 공격자 협상 방식 변화, 신뢰도 일시적 상승 - 예방과 백업이 유일한 대책, 기업 실무자 스트레스 증가 예스24(Yes24)가 랜섬웨어 공격자와 협의했던 것으로 보이는 가운데, 랜섬웨어 피해자들 중 절반 가까이가 공격자들이 요구한 돈을 지불한 것으로 조사됐다. 데이터를 보호하기 위한 사용자들의

The Tech EdgeCheifEditor

악성코드 설치하는 MySQL 서버 공격 주의!

💡Editor Pick - MySQL 서버에 대한 Brute force / Dictionary Attack - 공격 후, UDF/GhostRAT/XWorm, HpLoader, Zoho ManageEngine 등의 악성코드 설치 MySQL은 대표적인 데이터베이스 서버다. 기업, 사용자 환경에서 대량 데이터 관리 기능을 제공한다. 그런데 최근 외부에 노출되거나, 관리가 소홀한 MySQL 서버를 노린 공격이 지속적으로 포착되고 있다. 공격자는 스캐닝을 통해

The Tech EdgeCheifEditor

에베레스트 랜섬웨어, 코카콜라 직원 959명 정보 유출시켜

에베레스트 랜섬웨어 조직이 5월 27일 코카콜라의 내부 인사 자료를 다크웹과 러시아어 해킹 포럼에 공개했다. 해커들은 5월 22일 처음으로 피해 사실을 알리며, 회사를 협상 테이블로 끌어들이기 위해 시한을 제시한 바 있다. 이번 공격은 인사 관리 SaaS인 SAP SuccessFactors를 겨냥한 연쇄 침해 가운데 최대 규모 사례로 꼽힌다. 동일한 방식의 공격이 중동·아프리카

The Tech EdgeCheifEditor