ko

2025 보안사고 리뷰 [1편] 왜 한 번 뚫리면 전사가 멈췄나

PNPSECURE

11 min read
2025 보안사고 리뷰 [1편] 왜 한 번 뚫리면 전사가 멈췄나

“침해를 100% 막겠다”는 말은 이제 설득력이 떨어집니다. 실제 사고 현장에서 조직을 무너뜨리는 건 침투 그 자체가 아니라, 침투 이후 이어지는 확산(횡적 이동)과 권한 남용, 그리고 실행(복호화·조회·유출) 이기 때문입니다.

2025년에도 많은 조직이 비슷한 방식으로 흔들렸습니다. 취약점 한 번, 계정 한 번, 백도어 한 번으로 시작한 사건이 짧은 시간 안에 전사 장애로 번졌습니다. 내부 시스템이 멈추고, 복구 일정이 길어지고, 고객 공지와 조사 대응이 이어지면서 사이버 사고가 곧 경영 이슈로 확대되는 흐름이 반복됐습니다.

오늘 이 글에서는 전년도 보안사고의 공통 실패 지점과 운영적으로 부족했던 점을 돌아봅니다. 그리고 피앤피시큐어는 어떤 관점에서 고객사를 더 안전하게 만들 수 있었는지 정리해봅니다.

2025년 사고를 관통하는 한 문장 : 뚫린 뒤가 진짜 전장이다

초기 침투는 다양한 경로로 발생합니다. 피싱, 공급망, 취약점, 잘못된 설정, 내부자 등 완벽히 막기는 불가능합니다. 경계 보안을 강화해도 침해 ‘0건’을 보장할 수는 없습니다.

하지만 실제 전사적인 피해로 커지는 순간은 대개 침투 ‘이후’입니다. 실제로 2025년 국내에서도 국내 이동통신사에 백도어 악성코드 침해사고가 발생해, 한 번 내부에 발판이 만들어졌을 때 파급력이 어디까지 커질 수 있는지를 보여줬습니다. 또한, 대형 온라인 서비스/플랫폼에서도 랜섬웨어로 서비스가 중단되고, 이후 조사기관을 통해 비정상 접근 정황 등이 밝혀지며 침투 이후 구간의 대응이 핵심 이슈가 되기도 했습니다.

공격자가 

  • 내부에 발판을 만들고
  • 계정을 확보하거나 권한을 상승한 뒤
  • 다른 서버로 이동하며 침해 범위를 확산하고
  • 마지막으로 복호화, 데이터 조회, 유출 등을 성공하는 순간,

피해는 한 시스템의 장애를 넘어 전사 마비까지 이어질 수 있습니다.

실제 통계로도 2025년 상반기에는 서버 해킹 증가가 두드러졌고, 업종별로 정보통신·제조·도소매 등 다양한 산업에서 침해사고 비중이 높게 나타납니다.

이러한 연쇄를 끊지 못하면 한 개의 계정, 한 대의 PC, 한 대의 서버가 뚫린 사고가 전사 피해로 변합니다. 즉, 침해는 언제든 일어날 수 있는 사건이고 확산, 실행은 통제 가능한 변수입니다. 기업과 기관은 그 변수를 통제해 피해 변경을 최소화해야 합니다.

피해를 키운 공통점 3가지 : 인증, 이동, 실행

전년도 주요 보안 사고를 운영 관점에서 분석해보면, 핵심적인 공통점은 세 가지입니다.

이 세 가지 중 하나라도 제대로 통제되었다면, 같은 침해라도 결과는 완전히 달라질 수 있었습니다.

인증 : 누가 지금 작업하고 있는가

대다수의 조직이 로그인 순간에만 사용자를 강력하게 인증하고, 그 이후는 사용자를 신뢰합니다.

공격자는 이를 악용해 로그인만 성공하면 시스템 내에서 정상 사용자처럼 자유롭게 움직입니다. 

  • 세션을 오래 유지하고
  • 관리자 권한을 취득하고
  • 자동화 도구로 빠르게 주요 자산을 탐색하고 수집합니다.

문제는 이 모든 공격이 정상 계정을 통해 이루어진다는 점입니다. 정책상 비인가자의 행위는 통제되어야 하지만, 시스템이 공격자를 정상 사용자로 인식해 통제하지 못 하는 것입니다. 계정 보안은 로그인 시점 뿐만 아니라 작업 전 과정에서 지속적으로 검증되고 통제되어야 합니다.

이동 : 서버 to 서버 확산의 파급력

공격자가 한 서버에 들어왔을 때, 다음 목표는 이미 정해져 있습니다.

  • 자격 증명(크리덴셜) 확보
  • 파일 공유 및 관리 서버, 업무 핵심 서버로 이동
  • 더 큰 권한, 더 넓은 영향력 확보

여기서 내부 네트워크가 서버 간의 통신이 원활한 구조라면 확산 속도는 급격히 빨라집니다. 특히 업무 편의를 위해 일단 열어두는 예외가 누적된 경우 그 예외가 곧 공격자의 이동 경로가 됩니다. 공격자는 내부에서 손쉽게 원하는 길을 찾기 시작하고, 한 번 열린 통로가 장기적이고 지속적인 피해를 낳는 기반이 됩니다. 

결국 한 대의 침해가 전사 장애로 번지는 결정적인 이유는 횡적 이동을 막지 못했기 때문입니다. 서버와 서버 간에 최소한의 연결만 허용하고, 접근 시 검증하는 등 마이크로 세그멘테이션이 필요한 이유입니다.

실행 : 대기 - 명령 수신 - 실행이 공격을 완성한다

많은 악성코드는 몰래 숨어있는 것만으로는 목표를 달성하지 못합니다. 어딘가에서 실행 명령어를 전달받고 실행되어야 비로소 공격 행위를 시작할 수 있습니다.

  • 스케줄러/서비스 등록
  • 권한 있는 프로세스에 주입
  • 원격 명령 실행
  • 배치 스크립트/도구 실행

결국 마지막 관문은 단순합니다. “지금 이 통신이 허용된 통신인가?”

사고 대응에서 치명적인 건 탐지 지연 뿐만 아니라 침입 경로를 빨리 재구성하지 못하는 것입니다. 어디서 들어와 어디로 퍼졌고, 어디서 실행되었는지는 빨리 알아내야 차단·격리가 가능한데 접근 경로나 패킷 흐름에 대해 가시성이 부족하면 대응 시간이 길어지고 그 사이 공격은 확산합니다.

트래픽이 보이는 것을 넘어, 허용돼야 할 통신, 행위를 정책으로 선명하게 정의하고, 위반 사항은 즉시 차단으로 이어지는 구조가 필요합니다.

피앤피시큐어 해법 프레임 : 사람 인증(ICA) - 이동 차단(마이크로 세그멘테이션) - 실행 차단(게이트웨이)

피앤피시큐어는 침해를 전제로 한 운영 통제의 관점에서 다음과 같은 3가지 단계로 공격의 연쇄를 끊는 방어 전략을 제시합니다.

① 사람 인증(ICA, Implicit Continuous Authentication) : 로그인 이후에도 사용자를 계속 확인한다

공격자는 종종 정상 계정으로 침투합니다. 따라서 중요한 것은 로그인 시점 인증이 아닌, 행동 전 과정에서의 신원 검증입니다. 또한 계정(ID/PW, MFA 등) 중심 인증은 계정이 탈취되는 순간 공격자에게 그대로 악용될 수 있다는 한계가 있습니다.

피앤피시큐어의 ICA(Implicit Continuous Authentication)은 이러한 보안 공백을 제거하는 접근 방식입니다. 사용자가 시스템을 사용하고 작업을 수행하는 과정에서 지속적으로 신원을 확인해 공격자가 계정을 훔쳐도 작업을 지속하기 어렵게 설계되었습니다.

여기서 핵심은 계정이 아닌 ‘사람 중심의 인증’ 기술이라는 점입니다.

피앤피시큐어의 ICA는 얼굴 기반 인증을 통해 사용자 안면 정보를 통해 사람 자체를 지속적으로 검증합니다. 

  • 계정은 탈취될 수 있어도, 사용자 본인은 대체하기 어렵다.
  • 공격자가 정상 계정을 확보하더라도, 사람 검증이 유지되는 환경에서 작업을 지속할 수 없다.

ICA의 핵심은 한 번 통과하면 끝이 아닌, 지속적으로 확인하고 통제한다는 것입니다.

② 이동 차단(마이크로 세그멘테이션) : 뚫린 한 대에서 끝나게 한다

서버 침해가 전사 피해로 커지는 가장 큰 이유는 횡적 이동입니다. 

피앤피시큐어자 제시하는 메시지는 명확합니다.

  • Server Agent 기반 마이크로 세그멘테이션으로 횡적 이동을 정책으로 최소 허용
  • 계정이 침해되거나 백도어가 설치되어도 다른 서버로 이동 자체를 차단해 확산 최소화

즉, 한 대가 뚫릴 수는 있어도 전체가 멈추는 사고로 번지지 않도록 만드는 것입니다. 특히 주요 자산에 대한 침해 확산의 길목을 끊어내면 랜섬웨어의 전사 마비 시나리오가 성립하기 어렵습니다.

③ 실행 차단(게이트웨이) : 설치되어도 실행되지 못한다

마지막은 실행 차단입니다.

악성코드가 설치되더라도 실행하지 못하면 피해는 제한됩니다.

  • 게이트웨이 단 정책 집행으로 비정상적인 통신을 차단하고
  • 랜섬웨어/백도어 실행 시도를 행동 단계에서 끊는 방식입니다.

정리하면, 피앤피시큐어는 공격의 연쇄를 이렇게 끊습니다.

  • ICA : 누가 하는가를 물리적으로 지속적 확인
  • 마이크로 세그멘테이션 : 시스템에서 어디로 갈 수 있는가를 제한
  • 게이트웨이 차단 : 비정상 통신 차단, 악성코드 실행 차단

결론 : 침해는 일어날 수 있지만, 확산은 통제 가능한 변수다

2025년의 많은 사고는 보안 정책이 없어서가 아니라, 연결되어 있지 않아서 발생했습니다.

계정이 뚫렸을 때 이동 경로가 열려 있었고, 실행을 막지 못했고, 결국 피해는 확산됐습니다.

이제 우리가 해야하는 질문은 

  • ‘침해를 막을 수 있는가?’가 아닌,
  • ‘침해가 발생했을 때, 전사로 번지지 않도록 막을 수 있는가?’ 입니다.

피앤피시큐어의 제안은 단순합니다. 계정부터 이동, 실행의 연결고리를 끊어내고 한 곳이 뚫려도 멈추지 않는 조직을 만드는 것입니다.

마무리

앞으로 2편의 게시글을 통해 이번 글에서 소개한 기술에 대해 자세히 살펴볼 예정입니다. 

다음 글에서는 계정이 뚫려도 끝나지 않게 만드는 핵심, ‘ICA(Implicit Continuous Authentication)’을 중심으로 로그인 그리고 그 이후를 지키는 방법을 다룹니다.