현대 사이버 범죄 풍경 이해

2025년 HPE Threat Labs의 'In the Wild Report'에 따르면, 사이버 범죄는 산업화 단계에 진입했다. 공격자들은 RaaS(Ransomware-as-a-Service), PhaaS(Phishing-as-a-Service) 같은 SaaS 형태의 범죄 인프라를 구축하여 분업 체계를 갖추고 있으며, LLM 기반 자동화로 피싱 메일 작성, 코드 난독화, 취약점 스캐닝까지 대규모로 수행한다. 기술적으로는 CVE가 공개된 지 수년이 지난 미패치 취약점(Log4Shell, ProxyShell 등)을 자동 스캐너로 인터넷 전역에서 탐지하고, OAuth 토큰 탈취·세션 하이재킹·MFA 우회(adversary-in-the-middle) 같은 인증 우회 기법을 결합해 초기 침투부터 측면 이동(lateral movement)까지 평균 수 시간 내에 완료한다.

개발자와 엔지니어 관점에서의 실질적 영향은 공격 표면이 코드와 CI/CD 파이프라인까지 확장됐다는 점이다. npm·PyPI 등 패키지 레지스트리에 대한 typosquatting과 의존성 혼동(dependency confusion), GitHub Actions 워크플로우의 시크릿 탈취, 컨테이너 이미지에 백도어를 심는 공급망 공격이 일상화됐다. 또한 AI 코딩 어시스턴트가 생성한 코드에 포함된 환각 패키지명(hallucinated package)을 노린 'slopsquatting' 공격이 새롭게 보고되고 있어, AI 도구 사용 자체가 새로운 위협 벡터가 되고 있다. 자격증명 탈취 후 클라우드 콘솔에 접근해 IAM 권한을 상승시키고 cryptojacking이나 데이터 유출로 이어지는 사례도 급증 중이다.

대응을 위해 개발자는 먼저 SBOM(Software Bill of Materials) 생성과 Dependabot·Renovate를 통한 의존성 자동 갱신, Sigstore·SLSA 기반의 빌드 출처 검증을 표준으로 채택해야 한다. 시크릿 관리는 .env 파일이 아닌 Vault·AWS Secrets Manager 같은 전용 솔루션으로 옮기고, GitHub의 push protection과 secret scanning을 활성화해 커밋 단계에서 노출을 차단하는 것이 좋다. 인증 측면에서는 FIDO2/WebAuthn 같은 피싱 저항형 MFA로 전환하고, 세션 토큰에 짧은 TTL과 디바이스 바인딩을 적용해야 한다.

마지막으로 'shift-left security' 차원에서 SAST·DAST·SCA를 CI 파이프라인에 통합하고, 위협 모델링(STRIDE 등)을 설계 단계에서 수행하는 습관이 필요하다. 운영 환경에서는 EDR·CSPM 도구로 런타임 이상 징후를 실시간 모니터링하고, 침해 발생을 전제로 한 제로 트러스트 아키텍처를 적용해 측면 이동을 차단해야 한다. AI 어시스턴트가 제안한 패키지명은 반드시 공식 레지스트리에서 다운로드 수와 메인테이너를 확인한 뒤 도입하는 등, AI 협업 시대에 맞는 새로운 검증 루틴을 내재화하는 것이 핵심이다.