새해에는 사이버 공간에서 공격자가 단순한 텍스트 기반의 피싱 공격을 넘어 음성, 텍스트 및 영상 딥페이크 등 멀티모달 생성형 AI를 보다 적극적으로 활용해 경영진, 직원 혹은 파트너사를 사칭하고 상황에 맞춰 설득력 있는 공격을 자행할 것이다. 또 기업이나 기관 내에서 조직의 승인을 받지 않은 AI 도구인 일명 섀도 에이전트(Shadow Agent)도 치명적인 문제를 일으킬 수 있다.
구글 위협정보그룹(GTIG)은 5일 “2026년은 사이버 공격에 AI 활용이 새로운 표준으로 자리 잡을 것”이라고 분석한 내용을 담은 ‘2026년 사이버 보안 전망보고서’를 발표했다. 구글이 발표한 새해 전망보고서는 ‘적대자와 방어자의 인공지능 활용’, ‘가장 파괴적인 세계적 위협으로서의 사이버 범죄’, ‘반국가 행위자가 전략적 목표를 달성하기 위해 지속해서 수행하는 작전’ 등 세 가지를 주요 주제로 삼고 풀어냈다.
새해에는 직원이 조직의 승인 없이 자율형 AI 에이전트나 도구를 배포하거나 사용하는 경우, 민감한 데이터가 통제되지 않은 경로로 유출될 가능성이 커진다는 의미다. 존 램지(Jon Ramsey) 구글 클라우드 보안 부사장 겸 GM은 “조직은 인공지능을 활용한 위협과 적대자에 대해 항상 대비해야 한다”고 밝혔다.
2026년에는 올해와 마찬가지로 전 세계에서 랜섬웨어, 데이터 탈취 등 다각적인 범죄가 연합해 사이버 공격으로 인한 경제적 피해가 가장 클 것으로 내다봤다. GTIG는 이 과정에서 공격자들이 서버 내 가상화를 관리하는 인프라인 ‘하이퍼바이저’에 대한 표적 공격을 시도할 가능성이 높다고 분석했다. 이는 단 한 번의 침해만으로도 공격자가 전체 디지털 자산에 대한 통제권을 장악할 수 있는 만큼 치명적인 보안 사각지대라고 진단했다.
특히 금융부문에서 암호화폐와 토큰화된 자산의 도입이 확산되고, 글로벌 온체인 경제로 전환이 빠르게 이뤄지면서 탈중앙화 금융(DeFi) 플랫폼과 암호화폐 거래소를 겨냥한 대규모 공격, 디지털 자산 탈취와 결합된 공급망 공격 등 고부가가치 공격도 지속해서 발생할 것으로 예측했다.
이 같은 위협을 차단하기 위해서는 OT(운영시스템)와 IT(정보기술) 네트워크의 물리적 분리방법인 망분리를 철저하게 해야 한다고 설명했다. OT망은 공장, 발전소 등 산업 현장의 물리적 장비와 제어 시스템을, IT망은 사무실, 데이터센터 등 정보 시스템과 네트워크를 담당한다.
러시아, 북한, 중국, 이란 등 해킹조직을 집중적으로 육성하는 국가들에 대한 동향도 언급됐다. GTIG는 “우크라이나 전쟁을 위한 단기적 전술 지원을 넘어 장기적 글로벌 전략 목표를 추구하며 전략적인 변화를 겪을 것으로 예상된다”며 “중국과 연계된 사이버 작전의 규모는 내년에도 다른 국가들의 수준을 계속 넘어설 것”이라고 밝혔다.
특히 북한과 관련해서는 새해에도 한국과 미국 등 적대국으로 여기는 국가들을 상대로 수익 창출과 전통적인 사이버 간첩 활동이라는 주요 목표를 유지할 것으로 내다봤다. 북한의 사이버 공격은 특히 암호화폐 그룹과 사용자를 대상으로 성공적이고 수익성 높은 작전을 더욱 강화할 것이다. 올해 관찰된 전술에는 약 15억 달러 상당의 사상 최대 규모 암호화폐 절도 사건이 포함됐다. 이는 북한이 고수익 금전적 동기를 가진 공격에 집중하고 있음을 보여주고 있다. 북한 사이버 위협 세력은 기술 혁신을 강화하며, 악성코드 유포와 함꼐 클라우드 환경을 대상으로 한 광범위한 내부 정찰로 고가 자산을 찾아내 탈취하는 등의 전술이 포함될 것이다.
북한의 캠페인에 대해서는 가짜 채용 평가 웹페이지를 만들어 공격 대상을 유인하는 등 고도화된 소셜 엔지니어링 기법을 활용할 것이다. 또 고부가가치 인력을 속이기 위한 딥페이크 영상의 활용도 더욱 확산할 것이다.
북한 IT 근로자의 활동은 유럽을 중심으로 전 세계적에서 확대되는 가운데 미국 내 법 집행기관의 압박에 감시망에서 벗어나려고 시도할 것으로 예상했다. 또 북한 IT 근로자로 인한 위협은 급여 소득을 넘어 고용주 네트워크 접근 권한을 악용해 직접적인 금전적 이득을 얻는 것, 암호화폐 관련 기관을 표적으로 삼아 암호화폐를 훔치는 것 등도 포함될 것으로 내다봤다.
구글 GTIG는 “사이버 위협 조직은 수익 창출을 위해 암호화폐 조직 및 사용자를 표적으로 하는 고효율·고수익 작전을 확대할 것”이라며 “북한의 IT 인력은 수입원을 유지하기 위해 특히 유럽을 중심으로 전 세계적인 활동 범위를 넓힐 것으로 예상된다”고 강조했다.
아시아태평양 지역에서 예상되는 잠재적인 사이버 보안 위협으로는 외교관을 표적으로 하는 정치적 스파이 활동과 차량 탑재형 가짜 기지국 해킹 등을 꼽았다.
