2025년 6월 정보보안 월간 리뷰

2025년 6월은 사이버 공격의 양상이 크게 변화한 달이었습니다. 특히 공급망을 노린 대규모 공격과 AI 기술을 악용한 새로운 위협들이 급증했으며, 항공업계가 집중적으로 표적이 되는 등 업계별 맞춤형 공격이 두드러졌습니다. 개인 사용자들 역시 더욱 정교해진 피싱 공격과 딥페이크 기술 악용 사기에 노출되면서, 보안 대응 전략의 전면적 재검토가 필요한 시점이 되었습니다.

이달의 충격적 보안 사건들

식품 공급망을 뒤흔든 UNFI 사이버 공격

6월 5일, 북미 최대 식품 유통업체인 UNFI(United Natural Foods Inc.)가 대규모 사이버 공격을 받았습니다. 연매출 310억 달러 규모의 이 회사는 Whole Foods Market의 주요 공급업체로, 전국 3만 개 매장에 식품을 공급하는 핵심 인프라였습니다.

공격 발견 즉시 시스템 일부를 오프라인으로 전환하며 대응했지만, 전국적인 식품 공급망에 차질이 발생했습니다. 주가는 17% 급락했고, 완전 복구까지 3주가 소요되었습니다. 이 사건은 하나의 핵심 업체 공격이 얼마나 광범위한 영향을 미칠 수 있는지 보여준 대표적 사례입니다.

항공업계를 노린 연쇄 공격

6월은 항공업계에 특히 암울한 달이었습니다. Hawaiian Airlines(6월 23일 발견)와 WestJet Airlines(6월 13일 발견)가 연이어 사이버 공격을 받았는데, 두 사건 모두 'Scattered Spider'라는 젊은 해커 조직과 연관된 것으로 의심됩니다.

다행히 두 항공사 모두 비행 운항에는 영향을 주지 않았지만, 내부 시스템과 모바일 앱에 차질이 발생했습니다. 이러한 업계별 집중 공격 패턴은 해커들이 특정 산업의 취약점을 파악하고 체계적으로 공략하고 있음을 시사합니다.

개인정보 대량 유출 사건들

인도의 카셰어링 업체 Zoomcar에서는 840만 명의 사용자 개인정보가 유출되었습니다(6월 9일 발견). 흥미롭게도 공격자가 직접 회사 직원에게 연락해 침해 사실을 알렸다는 점이 특이했습니다.

미국에서는 헬스케어 기술 회사 Episource에서 540만 명의 환자 정보가 유출되는 등, 의료 분야의 개인정보 보안 위험이 지속되고 있습니다.

새롭게 등장한 디지털 위협들

제로데이 취약점의 활발한 악용

CVE-2025-33053 (WebDAV 원격 코드 실행 취약점)과 CVE-2025-5419 (Chrome V8 엔진 취약점) 등 고위험 제로데이 취약점들이 실제 공격에 악용되고 있습니다. 특히 "Stealth Falcon" APT 그룹이 터키 방산업체 공격에 WebDAV 취약점을 사용한 것이 확인되었습니다.

AI가 만든 가짜 현실의 공격

딥페이크 기술을 활용한 금융 사기가 급속히 확산되고 있습니다. 영국의 Arup 엔지니어링에서는 임원진의 얼굴과 음성을 딥페이크로 위조해 화상회의에 참석시킨 후 2,500만 달러를 탈취하는 사건이 발생했습니다.

2024년 대비 딥페이크 음성 사기가 442% 증가하면서, 더 이상 "보이는 것"과 "들리는 것"만으로는 상대방의 신원을 확신할 수 없는 시대가 되었습니다.

스마트 기기들의 보안 구멍

IoT 기기의 50% 이상이 심각한 보안 결함을 가지고 있으며, Mirai 봇넷이 부활해 수일 내에 500만 대의 스마트 기기를 감염시켰습니다. 집안의 스마트 TV, 보안 카메라, 인공지능 스피커 등이 해커들의 공격 도구로 악용될 위험이 커지고 있습니다.

랜섬웨어의 진화와 확산

2025년 상반기 랜섬웨어 공격이 미국 기준 149% 증가했으며, 평균 몸값도 273만 달러로 거의 2배 늘었습니다. 더욱 교묘해진 점은 단순히 파일을 암호화하는 것을 넘어 삼중 갈취 기법(데이터 암호화 + 유출 위협 + DDoS 공격)을 사용한다는 것입니다.

보안 업계의 혁신과 투자 열풍

AI 보안 기술의 양면성

보안 업계는 AI 위협에 맞서 AI로 대응하는 전략을 택하고 있습니다. Microsoft는 Agentless File Integrity Monitoring을, AWS는 Amazon Inspector Code Security를 출시해 AI 기반 위협 탐지 능력을 강화했습니다.

제로 트러스트 보안 시장도 2025년 383억 7천만 달러 규모로 성장했으며, 2030년까지 2배 성장이 예상됩니다. "신뢰하지 말고 검증하라"는 원칙이 더욱 중요해지고 있습니다.

대규모 투자와 인수합병

보안 업계에 27억 달러가 투자되었으며(2025년 1분기), 특히 5월 한 달에만 42건의 M&A가 발표되는 등 업계 통합이 가속화되고 있습니다.

주목할 만한 인수로는 Proofpoint의 Hornetsecurity 인수(10억 달러), Check Point의 Verity 인수(1억 달러 이상) 등이 있습니다.

강화되는 규제와 정책

EU의 NIS2 지침과 사이버 복원력 법안(CRA)이 본격 시행되면서 기업들의 보안 투자가 의무화되고 있습니다. 미국에서는 Executive Order 14306으로 AI 사이버 방어가 강화되었고, 한국에서도 KISA 2025년 10대 이슈에 생성형 AI 보안이 포함되었습니다.

당신이 알아야 할 개인 보안 이슈들

비밀번호 게임의 새로운 규칙

"지금 당장 비밀번호 바꿔라" 주의보가 발령되었습니다. 크리덴셜 스터핑 공격으로 인터파크(78만 건), 한국고용정보원(23만 건) 등에서 유출된 계정 정보가 다른 사이트 공격에 악용되고 있습니다.

즉시 해야 할 일:

• 모든 중요 사이트의 비밀번호를 서로 다르게 변경
• 2단계 인증을 모든 계정에 설정
• 비밀번호 관리 프로그램 사용 (1Password, Bitwarden 등)

메신저 속 늑대들

텔레그램과 카카오톡을 통한 피싱 공격이 정교화되고 있습니다. 특히 해킹된 지인 계정을 통해 "친구 지원 인증"을 요청하거나, 텔레그램 공식 계정을 사칭해 "정책 위반으로 재로그인 필요"라는 메시지로 계정을 탈취합니다.

대응 방법:

• 지인이 보낸 의심스러운 링크도 전화로 확인
• 메신저 2단계 인증 반드시 설정
• "급한 일", "도움 요청" 메시지에 특히 주의

개인정보보호법 개정의 영향

2025년 3월 시행된 개인정보보호법 3차 개정으로 개인정보전송요구권이 신설되었습니다. 이제 개인정보를 다른 기업으로 전송하도록 요구할 수 있고, 마이데이터 제도가 의료·통신·에너지 분야로 확대되었습니다.

추천 보안 도구들

무료 옵션:

• PC: V3 Lite, Windows Defender, Bitdefender Antivirus Free
• 모바일: V3 Mobile Security, Kaspersky Mobile Security

유료 추천:

• 종합 보안: Kaspersky Internet Security, Bitdefender Total Security
• 비밀번호 관리: 1Password, Bitwarden

피해 발생 시 대응

즉시 연락처:

• 개인정보 침해신고: 국번 없이 118
• 금융사기 신고: 국번 없이 112
• 전기통신 금융사기 피해자는 최대 300만 원 생활비 지원 가능

하반기 전망과 대비책

예상되는 위협들

• AI 악용 범죄의 고도화: 더욱 정교한 딥페이크와 AI 생성 콘텐츠
• 공급망 공격 증가: 소프트웨어 업데이트를 통한 악성코드 유포
• 양자 컴퓨팅 위협: 기존 암호화 체계에 대한 잠재적 위험

개인 사용자 대비 전략

1. 정기 점검 일정 만들기
   • 매월 3째 주 수요일: 사이버보안진단의 날 자가점검
   • 분기별: 앱 권한 재검토
   • 반기별: 비밀번호 전면 변경
2. AI 시대 보안 수칙
   • 영상통화 시 민감한 요청은 별도 확인
   • 공식 앱스토어에서만 앱 다운로드
   • VPN 사용 권장 (공공 Wi-Fi 이용 시)

마무리: 새로운 보안 패러다임의 시작

2025년 6월은 사이버 보안 역사에서 중요한 전환점이 될 것 같습니다. AI 기술의 확산으로 공격과 방어 양쪽 모두 새로운 차원에 진입했고, 개인과 기업 모두 기존 보안 상식을 넘어선 대응이 필요한 시대가 되었습니다.

가장 중요한 것은 지속적인 관심과 업데이트입니다. 보안은 한 번 설정하고 끝나는 것이 아니라, 진화하는 위협에 맞춰 계속 발전시켜야 하는 살아있는 과정입니다.

개인 사용자든 기업이든, "완벽한 보안"은 없다는 전제 하에 "빠른 감지와 신속한 대응"에 초점을 맞춘 전략이 필요한 시점입니다. 디지털 세상이 더욱 복잡해질수록, 우리의 보안 의식도 그에 맞춰 진화해야 합니다.

 

정보보안뉴스 #사이버위협 #보안트렌드 #UNFI사이버공격 #딥페이크사기 #랜섬웨어 #제로데이취약점 #AI보안 #정보보안동향 #사이버보안진단의날 #CVE2025 #Hawaiian항공해킹 #블록체인보안 #개인정보보호 #2025년6월보안이슈