"적은 이미 내부에 있다"… 클라우드플레어가 경고한 2026 사이버 보안의 민낯

클라우드플레어(Cloudflare) 로고

글로벌 커넥티비티 클라우드 기업 클라우드플레어(Cloudflare)가 5일 공개한 ‘2026 위협 인텔리전스 보고서’는 현대 사이버 보안의 전선이 완전히 바뀌었음을 여실히 보여준다. 과거 해커들이 성벽을 부수고 침입(Break-in)하는 방식에 주력했다면, 이제는 인공지능(AI)을 활용해 정상적인 사용자처럼 로그인(Log-in)하는 전략으로 선회했다는 진단이다.

이번 보고서는 클라우드플레어가 매일 처리하는 2,300억 건의 위협 데이터를 분석한 결과로, AI가 사이버 공격의 기술적 문턱을 얼마나 낮췄는지 생생하게 기록하고 있다. 이제는 전문적인 해킹 지식이 없어도 생성형 AI를 활용해 시스템 취약점을 찾아내고, 정교한 피싱 메일을 발송하는 일이 가능해졌다. 보안팀이 외부의 침입자를 막는 고전적인 방식만으로는 더 이상 조직을 지킬 수 없는 시대가 도래한 것이다.

보고서 내용 중 가장 충격적인 대목은 북한 소속 요원들의 활동 방식이다. 이들은 AI로 생성한 딥페이크 영상과 위조 신분증을 동원해 서구권 기업의 채용 절차를 무력화하고 있다. 실제로 이들이 서방 기업에 정식 직원으로 취업해 내부 접근 권한을 획득한 사례가 다수 확인됐다.

이들은 미국 내에 구축된 이른바 ‘노트북 농장(laptop farms)’을 활용해 실제 거주지를 숨기며 원격 근무 형태로 기업 내부에 침투한다. 시스템을 해킹해 들어오는 대신, 정식 채용 절차를 거쳐 '로그인' 권한을 얻는 셈이다. 이는 단순한 데이터 탈취를 넘어 기업의 핵심 공급망을 안쪽에서부터 무너뜨릴 수 있는 치명적인 위협으로 꼽힌다.

국가 지원을 받는 해킹 그룹의 전략 변화도 눈에 띈다. 중국발 공격 그룹인 ‘솔트 타이푼’과 ‘리넨 타이푼’은 북미 지역의 통신사와 정부 기관을 주요 타깃으로 삼고 있다. 이들은 정보를 훔치는 전통적인 스파이 활동을 넘어, 향후 발생할지 모를 분쟁 상황에 대비해 핵심 인프라에 미리 공격 코드를 심어두는 ‘지속적 거점 확보를 통한 사전 배치’ 전략을 구사하고 있다.

평상시에는 아무런 움직임 없이 시스템의 일부처럼 숨어 있다가, 결정적인 순간에 인프라를 마비시킬 수 있는 시한폭탄을 곳곳에 배치하고 있는 상황이다. 국가 핵심 인프라 보안이 단순히 외부 방어벽 구축을 넘어 네트워크 내부의 모든 연결을 끊임없이 의심해야 하는 ‘제로 트러스트’ 환경으로 나아가야 하는 이유다.

물리적 압박 수단인 DDoS(분산 서비스 거부) 공격의 규모도 상상을 초월한다. 최근 관측된 공격 규모는 무려 31.4Tbps에 달한다. 이는 국가 단위의 네트워크 전체를 마비시킬 수 있는 기록적인 수치다. ‘아이수루(Aisuru)’와 같은 지능화된 봇넷이 주도하는 이 공격은 초당 수억 건의 요청을 쏟아부어 사람의 판단과 대응 속도를 비웃는다.

클라우드플레어는 이처럼 거대해진 공격에 맞서기 위해 AI가 공격을 스스로 탐지하고 차단하는 자율형 방어 체계 도입이 시급하다고 제언한다. 매튜 프린스 클라우드플레어 CEO는 "공격자들은 낡은 보안 체계의 틈새를 파고든다"며 "글로벌 네트워크를 통해 확보한 인텔리전스를 공유해 공격 비용을 높이고 방어자가 주도권을 되찾게 해야 한다"고 강조했다.

사이버 보안은 이제 기술의 우위를 넘어 인공지능을 얼마나 영리하게 방어에 활용하느냐의 싸움이 됐다. 사후 대응 방식의 보안 태세로는 딥페이크와 초고속 DDoS를 막아낼 수 없다. 실시간으로 업데이트되는 위협 인텔리전스를 기반으로 시스템 내부의 모든 '로그인'을 감시하는 정밀한 대응 체계로의 전환이 요구되는 시점이다.