Executive Summary

2025년 상반기(2025년 상반기)에는 지속적인 레거시 위협과 새로운 첨단 전술의 융합으로 빠르게 진화하는 위협 환경이 반영되었습니다.

2024년 상반기 대비 총 공개된 CVE는 16개% 증가했으며, 위협 행위자들은 지정된 CVE를 통해 161개의 취약점을 악용했으며, 이 중 절반 가까이가 멀웨어 또는 랜섬웨어 캠페인과 연관되어 있었습니다. Microsoft는 여전히 가장 많이 표적이 된 벤더였으며, 엣지 보안 및 게이트웨이 디바이스는 계속해서 초기 액세스를 위한 높은 가치의 표적이 되었습니다. 멀웨어 활동도 마찬가지로 역동적이었습니다. 법 집행 기관의 조치로 LummaC2와 같은 주요 업체들이 중단된 반면, Sality와 같은 레거시 멀웨어의 부활은 오래된 툴이 여전히 현대 공격자들에게 유용함을 제공한다는 것을 보여주었습니다. 2024년 상반기에 정보 탈취 전용 공격자(인포스틸러)가 지배적이었던 기존 방식에서 데이터 탈취 기능과 지속적이고 실질적인 액세스를 결합한 보다 다양한 툴로 전술적 변화가 일어나면서 AsyncRAT, XWorm, Remcos와 같은 원격 액세스 트로이목마(RAT)도 두드러지게 나타났습니다.

모바일 멀웨어 위협은 2025년 상반기에도 계속 증가했으며, 안드로이드 뱅킹 트로이목마는 가상화 기반 오버레이와 근거리 무선 통신(NFC) 릴레이 공격을 채택하여 사용자 방어를 우회하고 실제 금융 사기를 가능하게 했습니다. 이러한 혁신은 앱과 결제 생태계를 모두 노리는 모바일 우선 악용 금융 사기가 증가하는 추세를 반영합니다. Ransomware 그룹은 신규 진입자의 장벽을 낮추기 위해 기성품 페이로드와 인프라를 제공하는 제휴사 중심 모델에 더욱 집중했습니다. 일부 랜섬웨어 제품군은 엔드포인트 탐지를 회피하도록 설계된 보호된 페이로드 또는 새로운 로더와 같은 스텔스 기능을 도입했습니다. 한편, Magecart 스키밍 캠페인은 다단계 모듈식 감염 체인과 혁신적인 난독화 기술을 채택하여 콘텐츠 보안 정책을 회피하고 결제와 같은 중요한 순간에만 악성 스크립트를 삽입합니다.

종합하면, 2025년 상반기는 위협 환경이 확장되고 있을 뿐만 아니라 세분화되고 있으며, 위협 행위자들이 다양한 공격 표면에서 새로운 툴과 기존 툴을 모두 악용하고 있다는 점을 강조합니다. 효과적으로 대응하려면 조직은 인터넷에 연결된 시스템, 특히 초기 접속의 표적이 되는 게이트웨이 및 엣지 보안 제품의 패치를 우선적으로 적용해야 합니다. 탐지 기능은 엔드포인트 원격 분석을 넘어 행동 모니터링, 명령 및 제어(C2) 트래픽 분석, 웹 환경의 스크립트 난독화 탐지까지 확장되어야 합니다. 멀웨어 재패키징과 같이 빠르게 변화하는 수법에 대응하기 위해서는 Threat Intelligence 에 대한 투자가 필수적입니다. 또한 조직은 점점 더 정교해지는 모바일 멀웨어 캠페인에 대응하기 위해 모바일 디바이스 정책을 재검토하고 애플리케이션 검사 및 사용자 인식을 강화해야 합니다.

주요 연구 결과

• CVE 공개는 2024년 상반기에 비해 16% 증가했으며, 이 중 161개의 취약점이 2025년 상반기에 활발히 악용되었습니다. 이 중 42개(% )는 공개 개념 증명(PoC) 익스플로잇이었고, 약 69개(% )는 인증이 필요하지 않았으며, 30개(% )는 원격 코드 실행(RCE)이 가능하여 공격자들이 마찰이 적고 영향력이 큰 익스플로잇을 선호한다는 것을 알 수 있습니다. Microsoft와 엣지 게이트웨이 어플라이언스가 각각 17개(% )의 익스플로잇을 차지했으며, 국가가 후원하는 익스플로잇이 절반 이상을 차지해 국가가 후원하는 위협 행위자가 결함을 빠르게 무기화할 수 있는 높은 역량을 보여줍니다.
• Recorded Future 분류 제출 및 Insikt Group 보고에 따르면, 명령 및 제어(TA0011)는 194,000건 이상 탐지되어 가장 자주 관찰된 멀웨어 전술이었습니다. ( MITRE ATT& CK 매트릭스에 따르면) 상위 기법에는 영향을 받기 위해 암호화된 데이터(T1486), 유효한 계정(T1078), 로컬 시스템의 데이터(T1005)가 포함되어 랜섬웨어 배포의 확산과 민감한 데이터를 획득하고 악용하기 위한 지속적인 접근의 중요성을 강조합니다.
• 2025년 상반기에는 11개의 새로운 모바일 멀웨어 변종이 발견되고 9개의 변종이 부활하거나 계속 활동하는 등 모바일 위협 환경이 계속 진화하고 있습니다. 여기에는 뱅킹 트로이목마, 인포스틸러, 스파이웨어, RAT가 포함됩니다. 오버레이 공격과 같은 오랜 전술, 기법 및 절차(TTP)는 일부 혁신이 있었지만 여전히 일반적이었습니다.
• 비접촉식 카드 데이터를 캡처하여 공격자가 제어하는 장치로 전송함으로써 NFC 릴레이 사기를 가능하게 하는 중국 MaaS 플랫폼인 SuperCard X의 발견에서 알 수 있듯이 비접촉식 결제에 대한 위협이 증가했습니다.
• Ransomware 위협 행위자들은 2025년 상반기에 공격 체인 전반에 걸쳐 새로운 TTP를 채택했습니다. 여기에는 초기 액세스를 위한 ClickFix 기반 소셜 엔지니어링, BYOI(Bring-Your-Own-Installer) 기술을 통한 엔드포인트 탐지 및 대응(EDR) 회피, 탐지 우회를 위해 적시 후킹 및 메모리 주입을 사용하는 맞춤형 페이로드가 포함되었습니다. Ransomware 위협 행위자들은 또한 지속성, 데이터 도용, 은밀한 C2를 위해 합법적인 도구를 계속 사용했는데, 여기에는 액세스 유지를 위한 AnyDesk, 키 로깅을 위한 Syteca, 클라우드 기반 C2를 위한 GC2 등이 있습니다.

취약점 익스플로잇 트렌드

Key Takeaways

• 2025년 상반기에는 2024년 상반기 대비 16%(% ) 증가한 23,667건의 CVE가 게시되었습니다. 공격자들은 161개의 취약점을 적극적으로 악용했으며, 이 중 42개(% )의 취약점은 공개 PoC를 통해 익스플로잇되었습니다. Insikt Group 에 게시된 27개의 Nuclei 템플릿 중 21개가 미국 사이버 보안 및 인프라 보안국(CISA)의 알려진 익스플로잇 취약점(KEV) 카탈로그에 나타난 취약점에 해당합니다.
• Microsoft 제품이 이러한 익스플로잇의 17%(% )를 차지했지만, 공격자들은 네트워크 경계에 위치하여 나중에 다운스트림 공급망을 통해 전파될 수 있는 공격의 매력적인 진입점이 되는 SSL-VPN 및 차세대 방화벽과 같은 에지 보안 및 게이트웨이 어플라이언스(비슷한 17%%)에도 집중하고 있습니다.
• 악용된 취약점 중 69%(% )는 인증이 필요하지 않았고, 약 1/3은 RCE를 활성화했습니다. 익스플로잇된 취약점 151개가 멀웨어 배포에, 73개가 랜섬웨어 실행에 사용되었으며, 백도어가 가장 일반적인 페이로드였습니다.  국가가 후원하는 공격자들이 익스플로잇의 절반 이상을 주도했으며, 이는 이러한 공격의 중요한 전략적 동인과 취약점이 공개된 직후 이를 무기화할 수 있는 공격자들의 능력을 강조합니다.

2024년에 비해 총 공개 취약점 수가 증가하면서 적극적으로 악용되는 취약점 수에서 마이크로소프트가 선두를 달리고 있습니다.

2025년 상반기에도 공개된 취약점의 양은 계속 증가했습니다. 2024년 상반기에 비해 총 CVE 건수가 16건(% ) 증가하여 2024년 상반기 20,385건에서 2025년 상반기 23,667건으로 증가했습니다. 이러한 성장세는 공격 표면이 확장되고 위협 행위자가 악용 가능한 결함을 찾을 기회가 더 많아졌다는 것을 의미합니다. 특히 취약점별 가장 일반적인 취약점 유형은 웹 애플리케이션 문제였습니다: 크로스 사이트 스크립팅(CWE-79 )과 SQL 인젝션(CWE-89)이 가장 많은 취약점을 차지했고, 크로스 사이트 요청 위조(CWE-352), 일반 인젝션 결함(CWE-74), 인증 누락(CWE-862)이 그 뒤를 이었습니다. 이는 웹 애플리케이션의 근본적인 보안 공백이 여전히 널리 퍼져 있으며 조직은 이러한 추세에 유의해야 한다는 것을 강조합니다. 인젝션 및 스크립팅 취약점이 지속된다는 것은 공격자가 보안이 취약한 웹 인터페이스에서 쉬운 공격 대상을 계속 찾을 수 있다는 것을 의미합니다.

2025년 상반기에 활발하게 악용된 취약점을 살펴보면 Microsoft 제품이 이 분야를 지배했습니다. Microsoft가 28개로 가장 많이 악용된 CVE를 차지했으며( 그림 1 참조), 이 중 20개는 특히 Windows를 표적으로 삼았습니다. 이 수치는 다음으로 가장 많이 표적이 된 벤더의 세 배 이상에 달하는 수치입니다: Apple(8개), Ivanti(7개), Linux(6개)가 그 뒤를 이었습니다. 공격자들은 잠재적 피해자를 최대화하기 위해 널리 배포된 시스템의 취약점을 우선적으로 공격하는 것이 당연하기 때문에, Microsoft의 대규모 표적 공격은 기업 전반에 걸쳐 Windows가 보편화되어 있음을 반영하는 것일 수 있습니다. Insikt Group 에서 총 81개 공급업체에 영향을 미치는 익스플로잇된 취약점을 확인했습니다. 이러한 광범위한 범위는 익스플로잇이 몇몇 유명 소프트웨어 제품군에 집중되어 있는 것이 아니라 공격자들이 광범위한 그물을 드리우고 있음을 나타냅니다.

공격자들은 조직이 패치를 지연하거나 해당 시스템에 대한 모니터링이 제한적일 수 있다고 판단하여 덜 일반적인 소프트웨어와 환경을 계속해서 기회주의적으로 조사하고 있으며, 이는 이러한 시스템이 더 쉬운 공격 대상이 될 수 있다고 판단한 것으로 보입니다. 방어자의 입장에서 이는 강력한 패치 관리 프로그램이 소프트웨어 자산의 롱테일(잘 알려지지 않은 제품의 취약점도 패치를 적용하지 않으면 주요 침해의 시작점이 될 수 있다는 의미)을 무시할 수 없음을 의미합니다.

또 다른 주목할 만한 트렌드는 네트워크를 안전하게 유지하기 위해 설계된 도구의 취약성에 초점을 맞추는 것입니다. 17% 활발하게 악용된 CVE 중 엣지 보안 및 게이트웨이 제품에 영향을 미치는 것으로 나타났습니다. 여기에는 Ivanti, SonicWall, Fortinet, Palo Alto, Cisco, Citrix, Juniper, Sophos와 같은 공급업체의 SSL-VPN, 차세대 방화벽, 보안 게이트웨이, 원격 액세스 포털은 물론 VMware와 같은 가상화 언더레이가 포함되었습니다.

이러한 어플라이언스는 VPN을 종료하고 트래픽을 해독하며 네트워크 간의 신뢰를 중개하기 때문에, 공격자는 한 번의 익스플로잇으로 조직의 환경에 대한 초기 액세스 및 측면 이동을 위한 권한이 부여된 인증 경로를 즉시 확보할 수 있습니다. 예를 들어, CVE-2025-0282(Ivanti Connect 보안 및 정책 보안)는 인증되지 않은 원격 공격자가 어플라이언스에서 임의의 코드를 실행하고 자격 증명을 탈취하여 네트워크 내부로 추가 측면 이동을 할 수 있도록 허용했습니다. 이러한 추세는 자원이 풍부한 국가 지원 그룹을 포함한 위협 행위자들이 탐지를 최소화하면서 운영하기 위해 이러한 보안 인프라 플랫폼을 점점 더 많이 노리고 있다는 점을 강조합니다. 이러한 시스템은 공격자가 기존의 방어 체계를 우회하고 기업 네트워크 깊숙이 침투하는 데 사용하는 고가치 표적이 되었으므로 조직은 네트워크 엣지 디바이스를 강화하고 신속하게 패치를 적용하고 면밀히 모니터링해야 합니다.

Recorded Future 데이터에 따르면 공격자들은 2025년 상반기에 161개의 취약점을 악용하는 것이 관찰되었습니다. 이는 같은 기간 동안 CISA의 KEV 카탈로그에 나열된 136개의 취약점을 초과하는 수치입니다. 즉, Recorded Future 원격 분석은 해당 기간 동안 CISA가 공개적으로 인정한 것 외에 추가로 25개의 익스플로잇된 CVE를 확인했습니다.

익스플로잇된 161개의 취약점 중 68개(42개%)는 공개적으로 사용 가능한 PoC 익스플로잇이었습니다( 그림 2 참조). PoC를 사용할 수 있으면 익스플로잇의 기준이 낮아져 더 많은 공격자(숙련도가 낮은 위협 행위자 포함)가 취약점을 무기화할 수 있습니다. 여러 사례( Insikt Group )에서 PoC 공개 후 며칠 또는 몇 시간 내에 익스플로잇 활동이 급증하는 것을 관찰했습니다. 따라서 조직은 노출 기간을 제한하기 위해 신속한 패치 또는 임시 완화 조치를 시행해야 합니다.

액세스 요구 사항 및 영향 측면에서 그림 3은 161개의 취약점 중 111개(69개%)는 익스플로잇에 인증이 필요하지 않으며, 78개(48개%)는 로컬 액세스나 사용자 상호작용이 필요하지 않고 네트워크를 통해 원격으로 익스플로잇이 가능하다는 것을 보여줍니다. 즉, 인증되지 않은 원격 익스플로잇에 대한 이러한 편중은 자격 증명이나 내부자 액세스 없이도 취약한 호스트를 대상으로 인터넷에서 직접 공격을 시작할 수 있다는 것을 의미합니다.

익스플로잇된 CVE 중 48개(30개%)는 공격자에게 대상 시스템에 대한 모든 권한을 부여하는 RCE를 활성화했고, 나머지 11개(7개%)는 일반적으로 더 높은 시스템 액세스 권한을 얻기 위해 사용되는 권한 상승을 활성화했습니다. 익스플로잇된 취약점 중 측면 이동(한 시스템에서 다른 시스템으로 이동하는 것을 용이하게 하는 익스플로잇)을 용이하게 하는 취약점은 없었습니다. 많은 취약점이 원격으로 악용될 수 있고 유효한 사용자 계정이 필요하지 않으므로 조직은 인터넷에 연결된 애플리케이션과 서비스에 대해 선제적으로 검사하고 패치의 우선순위를 정해야 합니다.

코발트 파업이 착취 후 활동과 가장 빈번하게 연관됨에 따라 UNC5221, 아이반티 제품에 집중하다

이러한 취약점을 악용하는 위협 행위자는 정교한 국가 지원 그룹부터 영리를 목적으로 하는 사이버 범죄자까지 다양하며, 2025년 상반기 데이터는 국가 지원 캠페인의 중요한 역할을 강조합니다. Insikt Group 에서 출처를 확인할 수 있는 경우, 관찰된 익스플로잇 활동 중 약 53건(% )이 국가가 후원하거나 국가가 후원하는 것으로 의심되는 행위자에 의해 주도된 것으로 나타났습니다. 이는 악용 사례의 절반 이상이 스파이 활동, 감시 또는 기타 지정학적 목적을 위해 수행된 전략적 악용이라는 것을 보여줍니다.

금전적 동기를 가진 그룹(예: 절도 및 사기와 관련이 있으며 반드시 랜섬웨어와 관련이 있는 것은 아님)이 27건(% )의 익스플로잇을 차지했습니다. 또 다른 20개의 익스플로잇(% )은 랜섬웨어 및 갈취 그룹에 의한 것으로, 랜섬웨어 공격자들이 익스플로잇을 초기 액세스 벡터로 활용하여 대규모 파일 암호화 공격을 수행하는 것이 얼마나 일반적인 일이 되었는지를 강조합니다.

이 분석은 전략적 동기와 범죄적 동기가 모두 취약점 악용을 주도하고 있으며, 알려진 핵티비스트 캠페인은 눈에 띄지 않는다는 점을 강조합니다. 핵티비스트 집단은 일반적으로 혼란에 동기를 부여받으며 그러한 악용을 수행할 의도와 능력이 부족할 가능성이 높습니다.

반면, 국가가 후원하는 행위자가 최상위에 있다는 것은 많은 정부의 사이버 부서가 새로운 결함을 신속하게, 종종 공개 후 며칠 이내에 무기화할 수 있는 자원을 보유하고 있다는 것을 강조합니다. 국가가 상당 부분 관여하고 있다는 것은 이러한 위협이 무작위적이거나 기회주의적인 것이 아니라 특정 분야나 고부가가치 시스템을 겨냥한 표적적이고 지속적인 캠페인인 경우가 많다는 의미이기도 합니다.

지리적으로 국가가 후원하는 캠페인의 대부분은 중국 국가 후원 행위자 또는 중국과 연계된 것으로 의심되는 행위자에 의해 수행되었습니다. 이러한 그룹은 에지 인프라와 엔터프라이즈 솔루션을 활용하여 표적 네트워크에 거점을 구축하는 것으로 알려져 있으며, 2025년 상반기에 Insikt Group의 관찰은 이를 재확인합니다. 중국과 연계된 것으로 의심되는 UNC5221 그룹은 가장 많은 취약점을 악용했으며 Ivanti 제품을 선호하는 것으로 나타났는데, Ivanti Endpoint Manager Mobile(EPMM; CVE-2025-4428)과 Ivanti Connect Secure 및 Policy Secure(CVE-2025-22457 및 CVE-2025-0282)를 표적으로 삼았습니다.

악용된 161개의 취약점 중 151개가 어떤 형태로든 멀웨어 배포에 활용된 것으로 Recorded Future 데이터에 나와 있습니다( 그림 4 참조). 이 중 73개의 취약점은 랜섬웨어 공격의 초기 액세스 포인트이거나 랜섬웨어 킬 체인의 일부 단계에서 사용되는 등 랜섬웨어 배포와 특별히 연관된 취약점이었습니다. 실제로 패치되지 않은 취약점은 공격자가 피해자의 환경에 멀웨어를 도입하기 위한 일반적인 진입 지점이며, 최종 페이로드가 원격 액세스 트로이목마(RAT)이든 랜섬웨어든 취약점을 악용하는 초기 단계는 동일합니다.

Insikt Group 에 따르면 침해 이후 가장 많이 관찰된 멀웨어는 공격적인 보안 도구인 코발트 스트라이크였습니다. 코발트 스트라이크와 같은 툴은 정상적인 네트워크 트래픽에 섞여 있으면서 명령 실행, 권한 상승, 측면 이동을 위한 모든 기능을 갖춘 툴킷을 제공하기 때문에 공격자가 안정적인 발판을 마련하는 데 이상적입니다. 코발트 스트라이크 이후 가장 자주 관찰된 멀웨어는 익스플로잇과 함께 Vshell RAT였습니다.

그림 5에서 볼 수 있듯이 전체적으로 백도어 멀웨어는 전체 익스플로잇 후 활동의 약 23%(% )를 차지했습니다. 백도어와 다양한 트로이목마의 빈번한 출현은 공격자가 하나의 취약점을 통해 백도어를 배포한 다음 추가 툴을 준비하거나 랜섬웨어를 배포할 수 있으며, 이 모든 것이 맞춤형 멀웨어를 개발할 필요 없이 동일한 초기 진입 지점에서 이루어질 수 있다는 것을 의미합니다.

방어자에게 이러한 추세는 익스플로잇 이후 알려진 도구와 행동을 모니터링해야 한다는 사실을 상기시켜 줍니다. 예를 들어 코발트 스트라이크 비콘의 존재는 즉각적인 최우선 사고로 처리해야 하며, 합법적인 관리자 도구나 새로운 서비스의 비정상적인 사용은 RAT 또는 백도어가 실행되고 있음을 나타낼 수 있습니다.

전술 및 기법 관점에서 2025년 상반기의 익스플로잇 패턴은 MITRE ATT&CK 프레임워크에서 알려진 공격자의 행동과 일치합니다. 가장 빈번하게 발견된 ATT&CK 기법은 공개 애플리케이션 익스플로잇(T1190)으로, 73개의% 취약점 중 73개에서 관찰되었습니다. 그다음으로 클라이언트 실행을 위한 익스플로잇(T1203)과 권한 상승을 위한 익스플로잇(T1068)이 그 뒤를 이었습니다. 이 세 가지 기법은 공격자의 선호도와 플레이북에 대한 명확한 그림을 보여줍니다. T1190은 공격자가 인터넷에 노출된 서버 및 서비스(예: 웹 서버 또는 VPN 게이트웨이)를 집중적으로 표적으로 삼고 있으며, 이는 네트워크에 직접 진입하는 경로임을 나타냅니다.

T1203의 확산은 공격자들이 사용자 상호작용이 필요한 익스플로잇(예: 악성 이메일 첨부 파일 또는 드라이브 바이 다운로드가 피해자 측에서 익스플로잇을 트리거하는 방식)에도 투자하고 있음을 보여줍니다. 이러한 시나리오에서 취약점은 브라우저나 오피스 문서 소프트웨어와 같은 클라이언트 측 애플리케이션에 있을 수 있으며, 공격자는 피해자가 익스플로잇을 실행하도록 소셜 엔지니어링을 합니다. T1068은 공격자가 일단 발판을 마련하면 일반 사용자에서 시스템 또는 루트로 권한을 상승시키는 경우가 많다는 점을 강조합니다. 이 패턴은 공격자가 초기 액세스, 실행, 권한 상승을 하나의 익스플로잇 체인으로 활용하는 방법을 보여주며, 패치되지 않은 결함의 올바른 조합이 존재하는 경우 공격자가 도메인 관리자 권한에 액세스할 수 없게 되는 방법을 설명합니다.

인터넷에 연결된 시스템과 패치되지 않은 클라이언트 소프트웨어는 여전히 주요 공격 대상이 될 것이며, 이를 패치하지 않으면 공격자가 침입하여 권한을 확대할 수 있는 길이 열리게 됩니다. 방어자는 경계 시스템과 엔드포인트 애플리케이션을 모두 최신 상태로 유지하고 익스플로잇 시도에 대한 모니터링을 실시해야 합니다.

Insikt Group 알려진 익스플로잇 취약점과 일치하는 탐지 규칙 유지

2025년 상반기에 Insikt Group의 자체 탐지 노력은 새로운 Nuclei 템플릿(자동화된 취약점 탐지 시그니처)을 지속적으로 생성하여 진화하는 위협 환경에 발맞춰 나갔습니다. Insikt Group 가장 위험한 결함에 초점을 맞춰 취약한 시스템을 식별하도록 설계된 27개의 새로운 Nuclei 템플릿을 만들었습니다. 27개 템플릿 중 21개는 CISA의 KEV 카탈로그에 나타난 취약점과 일치했습니다. 즉, Insikt Group의 탐지 규칙 대부분은 야생에서 활발하게 악용되는 것으로 알려진 취약점에 직접적으로 맞춰져 있습니다.

Insikt Group의 Nuclei 템플릿에 가장 자주 등장한 벤더는 Fortinet, Apache, Ivanti였으며 이는 관찰된 위협 트렌드와 일치합니다. 이러한 공급업체의 취약점에 대한 Nuclei 템플릿을 개발함으로써 Insikt Group 는 조직이 인프라를 신속하게 스캔하고 공격자보다 먼저 패치되지 않은 인스턴스를 찾을 수 있도록 지원했습니다.

특히 Insikt Group 에서는 Project Discovery에서 사용할 수 있는 기존 공개 템플릿이 없는 13개의 고유한 Nuclei 템플릿을 게시했습니다( 그림 7 참조). 이러한 경우, Insikt Group 은 Nuclei 서명을 위한 오픈 소스 커뮤니티에서 아직 다루지 않은 취약점에 대한 탐지 로직을 작성하고 공유하여 Recorded Future 고객들의 중요한 탐지 공백을 메웠습니다.

또한, 그림 8은 Insikt Group의 Nuclei 템플릿 게시와 대상 취약점이 CISA의 KEV 카탈로그에 추가되기까지의 시간을 보여줍니다(아래 차트에는 템플릿이 있고 KEV에 추가된 CVE만 나열되어 있습니다). 2025년 상반기에 KEV에 추가된 5개의 취약점 - CVE-2025-32433(Erlang SSH), CVE-2025-24813(Apache Tomcat), CVE-2024-41713 및 CVE-2024-55550(Mitel MiCollab), CVE-2024-56145(Craft CMS) - 은 기존 Insikt Group Nuclei 템플릿을 사용할 수 있었습니다. 즉, Insikt Group의 탐지 기능을 활용하는 조직은 CISA에서 공식적으로 악용되는 것으로 인식되는 즉시(또는 그 이전이라도) 해당 문제를 스캔할 수 있습니다.

2025년에 KEV에 추가된 취약점 중 Insikt Group 에 아직 Nuclei 템플릿이 없는 취약점의 경우, 새 템플릿을 게시하는 데 걸리는 평균 소요 시간은 KEV 등록 후 8일이 걸렸습니다.

또한, 취약성 테스트 및 검증 과정에서 Apache의 초기 영향을 받는 제품 버전 목록에 포함되지 않았음에도 불구하고 Apache Tomcat 8.5.x 버전(특히 8.5.99를 제외한 8.5.0~8.5.98 및 8.5.100)도 CVE-2025-24813에 취약한 것으로 확인되었습니다( Insikt Group ). 실제로는 공급업체의 권고만 따랐다면 약간 오래된 Tomcat 8.5 릴리스를 실행하는 많은 조직이 자신도 모르게 위험에 처할 수 있었을 것입니다. 이러한 버전을 식별하고 Nuclei 템플릿을 제공함으로써 Insikt Group 은 공급업체가 처음 전달한 것 이상의 탐지 규칙과 조기 경고 및 해결 지침을 제공했습니다.

멀웨어 트렌드

Key Takeaways

• Sality 및 Tofsee와 같은 레거시 멀웨어 제품군이 다시 주요 위협으로 부상했으며, 구성 기반 C2 탐지에서 Sality가 1위를 차지했는데, 이는 최근 인포스틸러가 주도하는 트렌드에서 주목할 만한 변화이며 위협 행위자들이 오래된 코드베이스를 최신 용도로 리패키징하고 있다는 신호입니다.
• 악성코드 C2 추출을 포함한 Recorded Future 트리아지 데이터에서 AsyncRAT, XWorm, Remcos와 같은 상용 원격 액세스 트로이목마(RAT)가 두드러지게 나타났는데, 이는 다양한 침입 캠페인에서 지속적인 액세스 및 데이터 도용을 지원하는 도구를 위협 공격자들이 지속적으로 선호한다는 사실을 반영합니다.
• MITRE ATT&CK 전술 TA0011(명령 및 제어)은 Recorded Future 분류 제출 및 Insikt Group 보고에서 가장 자주 관찰된 TTP로, 2025년 상반기에 194,000건 이상의 이벤트가 기록되었습니다. 그 외에도 데이터 암호화, 로컬 데이터 도용, 자격 증명 도용 등 일반적으로 사용되는 기법들이 수익 창출과 측면 이동에 중점을 두고 있습니다.
• Ransomware 위협 행위자들은 초기 액세스를 위한 ClickFix 기반 소셜 엔지니어링, BYOI 기술을 통한 EDR 우회, 탐지를 우회하기 위해 JIT 후킹 및 메모리 주입을 사용하는 맞춤형 페이로드 등 공격 체인 전반에 걸쳐 새로운 TTP를 채택했습니다. Ransomware 위협 행위자들은 또한 지속성, 데이터 도용, 은밀한 C2를 위해 합법적인 도구를 사용했습니다.
• 위협 행위자들이 콘텐츠 보안 정책을 회피하면서 이커머스 플랫폼에 모듈형 전자 스키머를 배포하기 위해 Google 태그 관리자(GTM), 모호한 HTML 태그, 심지어 CSS ::before 콘텐츠 속성을 악용하는 등 Magecart 감염이 계속 증가했습니다.

봇넷과 C2 탐지에서 레거시 멀웨어의 귀환

Recorded Future 는 Recorded Future Triage에 제출된 샘플에서 추출한 멀웨어 구성을 기반으로 명령 및 제어(C2) 서버를 식별합니다. 2025년 상반기 C2 탐지에서 멀웨어 제품군에 대한 참조는 2024년 상반기와 비교하여 유행하는 멀웨어 제품군 측면에서 큰 변화를 보여줍니다. 탈취한 인증정보, 결제 데이터, 암호화폐 지갑으로 직접 수익을 창출 하거나 다크웹 시장에서 판매할 수 있기 때문에 인포스틸러는 대부분의 위협 행위자의 금전적 동기와 일치하는 위협 환경의 초석으로 남아 있습니다. 그러나 이러한 C2 탐지를 유발하는 특정 멀웨어가 바뀌고 있습니다. 2024년 상반기의 상위 10대 멀웨어 중 일부(예: Vidar, RedLine Stealer, LokiBot)는 부분적으로 운영 중단과 법 집행 조치로 인해 2025년에 크게 감소한 반면, 다른 멀웨어군이 급증하거나 그 자리를 차지하기 위해 등장했습니다.

2025년 상반기의 C2 탐지는 또한 오래 지속되는 멀웨어의 지속적인 존재를 강조합니다. 2003년에 처음 발견된 다형성 봇넷인 Sality는 2024년에 크게 부활한 후에도 여전히 상위권을 유지하며 기존 위협의 회복력을 보여주고 있습니다. 마찬가지로, 10년 이상 활동 중인 Tofsee 트로이 목마도 상위 그룹에 속합니다. Tofsee는 스팸, DDoS 공격, 크립토마이닝 등을 수행할 수 있는 모듈식 백도어이며, 지속적인 활동은 오래된 멀웨어가 범죄 활동의 꾸준한 중추로서 어떻게 지속될 수 있는지를 보여줍니다. 이러한 봇넷의 절대적인 참조 수가 작년의 최고 수준보다 훨씬 낮음에도 불구하고 여전히 존재한다는 것은 위협 공격자들이 오랜 기간 동안 잘 구축된 멀웨어 인프라를 악용하는 데 여전히 가치를 느끼고 있다는 것을 나타냅니다. 특히, 살리티와 토프시의 지속적인 사용은 일부 공격자들이 새로운 멀웨어가 지속적으로 유입되는 가운데서도 안정성을 이유로 또는 단순히 보호가 취약한 시스템을 표적으로 삼기 위해 레거시 툴을 선호한다는 것을 시사합니다. 이는 2024년 상반기에 살리티가 다시 등장했던 추세를 반영하는 것으로, '오래된' 멀웨어가 예상치 못하게 여전히 유행할 수 있음을 강조합니다.

한편, 지난해 인포스틸러의 선두주자였던 LummaC2는 급격한 감소세를 보였는데, 이는 법 집행 기관의 조직적인 단속의 결과일 가능성이 높습니다. 2025년 5월 말, 국제적인 작전이 2,300개가 넘는 도메인을 포함한 LummaC2의 인프라를 점령하고 메인 서버를 삭제하여 이 서비스형 멀웨어를 심각하게 중단시켰습니다. 그 결과, 2025년 상반기 상위권에서 LummaC2는 거의 사라졌고, 2023년 4월 RedLine의 C2 패널을 무너뜨린 GitHub 리포지토리 탈취 사건 이후 RedLine Stealer가 크게 하락한 것을 반영했습니다. 그러나 Insikt Group은 최근 LummaC2 운영자가 Cloudflare 기반 C2 도메인을 사용하여 인프라를 재구축하기 시작하여 적어도 부분적인 운영 회복이 이루어지고 있음을 발견했습니다. 최근인 2025년 7월 중순에 관찰된 LummaC2에 연결된 여러 개의 새로운 도메인이 Cloudflare IP 주소로 재설정되었으며, 이는 중단 이후 공급자로부터 이탈한 후 이전 전술로 돌아간 것입니다. 이러한 빠른 전환은 광범위한 혼란 속에서도 인프라와 전술을 재구성할 수 있는 LummaC2 운영자의 근본적인 회복력과 적응력을 강조합니다.

2025년 상반기의 또 다른 발전은 C2 탐지에서 원격 액세스 트로이목마(RAT)가 더욱 두드러진다는 점입니다. 이 기간 동안 Remcos, AsyncRAT, XWorm을 비롯한 여러 상용 RAT 제품군이 상위 10위 안에 들었습니다. 이러한 RAT는 무료로 또는 저렴하게 사용할 수 있으며 공격자가 손상된 시스템을 직접 제어할 수 있어 스파이 활동과 데이터 도용, 랜섬웨어의 런치패드로 다양하게 활용될 수 있습니다. 이러한 RAT의 증가는 많은 위협 공격자들이 피해자 환경에서 지속적인 대화형 액세스를 유지하기 위해 RAT를 활용하고 있으며, 이는 금전적 동기를 가진 그룹과 지능형 공격자 모두가 선호하는 접근 방식임을 시사합니다. C2 탐지 점유율이 증가하는 것은 일부 정보 탈취 서비스가 중단되면서 공격자들이 유사한 목표를 달성하기 위한 대체 수단으로 정보 탈취 기능이 포함된 RAT를 사용하게 되었음을 의미할 수도 있습니다.

전반적으로 2025년 상반기 C2 탐지 동향은 역동적이고 주기적으로 진화하는 위협 환경을 반영합니다. Insikt Group 상위권에서 지속적인 이탈이 관찰되는 반면, 일부 오랜 위협과 도구는 완전히 사라지지 않고 주기를 반복하며 악성 활동의 기저에 꾸준히 기여하고 있습니다. 금전적 동기를 가진 행위자들은 여전히 지배적이며, 그들의 이익 동기를 직접적으로 충족시켜주는 인포스틸러와 RAT를 선호합니다. 2025년 상반기의 C2 탐지는 레거시 봇넷의 회복력과 대화형 제어를 위한 RAT에 대한 의존도 증가를 배경으로 인증정보 탈취 트로이목마의 부활로 정의할 수 있습니다. 이러한 추세는 방어자가 최첨단 멀웨어와 2025년 하반기 이후에도 지속될 기존 위협의 지속적인 전술에 모두 대비해야 함을 강조합니다.

멀웨어 TTP 트렌드 및 인사이트

Recorded Future 의 Insikt Group 은 2025년 1월부터 6월까지 수천 개의 멀웨어 관련 관찰을 분석하고 집계하여 MITRE ATT&CK® 프레임워크에 매핑된 위협 행위자가 사용하는 주요 전술, 기법 및 절차(TTP)를 식별했습니다. 이 데이터의 출처는 Recorded Future 공개 샌드박스 제출물 분류 및 Insikt Group 보고입니다. 194,000건 이상이 관찰된 명령 및 제어(TA0011) 전술이 상당한 차이로 1위를 차지했으며, 이는 공격자가 손상된 시스템과 통신하는 데 있어 이 전술의 핵심적인 역할을 강조합니다.

자주 관찰되는 TTP에는 광범위한 랜섬웨어 활동을 나타내는 데이터 암호화(T1486), 지속적인 데이터 도용 작업을 나타내는 로컬 시스템의 데이터(T1005) 등이 있습니다. 유효한 계정(T1078) 및 외부 원격 서비스(T1133)와 같은 초기 액세스(TA0001) 기법도 많이 나타났는데, 이는 공격자가 인증 정보를 탈취한 다음 이를 사용하여 외부 원격 서비스를 통해 액세스하는 데 집중하고 있음을 나타냅니다. 외부 원격 서비스는 이 섹션의 뒷부분에서 설명하는 지속성 기술이기도 합니다.

Insikt Group 는 2025년 상반기에 ClickFix가 주목할 만한 초기 액세스 기술로 부상할 것으로 관측했습니다. ClickFix는 기만적인 오류 메시지나 확인 지침을 제시하여 사용자가 수동으로 명령을 붙여넣고 실행하도록 유도하거나 클립보드 하이재킹을 사용하여 프로세스를 자동화함으로써 악성 스크립트를 실행하도록 속이는 사회 공학 기법입니다. 2023년 10월에 처음 발견된 이 기술은 2024년 하반기에 상당한 주목을 받았으며, 2025년 상반기에 전년 대비 517%(% ) 급증했다고 ESET은 밝혔습니다.

또한, 침해 계정(T1586)과 외부 원격 서비스(T1133)의 존재는 공격자들이 지속성과 원격 액세스에 집중하고 있음을 시사합니다. 원격 서비스(T1021) 기법은 측면 이동을 지원하며, 실행(TA0002) 및 방어 회피(TA0005) 전술이 상위 10위를 차지하여 멀웨어 공격자들이 네트워크에 침투하고 지속하며 탐지를 회피하기 위해 사용하는 다양한 전술을 보여줍니다.

표 1: Recorded Future Triage 공개 샌드박스 데이터에 기반한 2025년 상반기 상위 10대 멀웨어군 (출처: Recorded Future)

Recorded Future Triage 공개 샌드박스 데이터에 따르면, 2025년 1월부터 6월까지 가장 많이 신고된 멀웨어군은 XMRig Miner였습니다. 일반적으로 악성 로더 또는 익스플로잇을 통해 전달되는 다단계 크립토재킹 도구로, CPU 리소스를 은밀하게 탈취하여 모네로(XMR)를 채굴하고 회피 및 지속성 메커니즘을 사용하여 탐지를 피하고 가동 시간을 최대화할 수 있습니다. 2025년 상반기 동안 코발트 스트라이크, 엔제이랫, DC랫, 엑스웜이 Recorded Future Triage에 제출된 공개 제출물 중 상위 5위 안에 들었습니다.

Recorded Future Triage 공개 샌드박스 데이터에 따르면, 2025년 1월부터 6월까지 가장 많이 신고된 랜섬웨어는 LockBit이었으며, 그다음으로 Chaos, Akira, Xorist, Agenda(Qilin)가 그 뒤를 이었습니다. 록빗은 악명 높은 랜섬웨어 계열로, 특히 2024년 초에 인프라 교란을 목표로 한 "작전 크로노스" 를 통해 이를 해체하려는 법 집행 기관의 상당한 노력에도 불구하고 계속 운영되고 있습니다. 바북과 카오스는 각각 2021년 6월과 2022년 4월에 소스 코드가 유출되었습니다. 이로 인해 재사용에 대한 접근성이 높아져 수많은 변종이 개발되었고, 이는 Recorded Future 분류 데이터에 널리 퍼진 원인으로 작용했을 가능성이 높습니다.

모바일 멀웨어

끊임없이 확장되는 환경

모바일 위협 환경은 2025년 상반기에도 계속 확장되었습니다. Insikt Group 는 RAT, 인포스틸러, 스파이웨어 등 최소 11개의 새로운 멀웨어 변종을 확인했으며, 멀티 플랫폼 스파이웨어 Graphite, LightSpy, Predator를 포함한 9개의 변종이 계속 사용되거나 부활하고 있는 것을 확인했습니다.

표 2: 2025년 상반기에 새로 확인된 모바일 멀웨어와 기존에 알려진 모바일 멀웨어 개요(출처: Recorded Future)

모바일 위협 환경의 지속적인 확장을 설명하는 몇 가지 상호 연관된 요인이 있을 수 있습니다. 모바일 뱅킹과 기업 환경에서 모바일 디바이스의 채택이 증가함에 따라 금전적 동기를 가진 위협 행위자에게는 더 큰 공격 표면이 생겼습니다. 특히 최신 보안 패치가 적용되지 않은 오래된 운영 체제로 구동되는 취약한 모바일 디바이스가 널리 퍼져 있다는 점이 매력적입니다.

프레데터의 복귀는 국제적인 감시에도 불구하고 지속적인 상업적 수요가 있었기 때문에 가능했던 것으로 보입니다. 마찬가지로 유럽 언론인의 기기에서 흑연이 발견되어 표적 감시에 대한 오용이 계속되고 있음을 알 수 있습니다. 마지막으로, 홍콩에서 중국 국가가 후원하는 감시와 관련된 스파이웨어인 LightSpy가 새롭게 탐지된 것은 모바일 사용자를 대상으로 한 지역 스파이 활동이 지속되고 있음을 거의 확실하게 나타냅니다.

위협 행위자들은 가짜 다운로드, 공식 스토어 악용, 공급망 악용을 선호합니다.

위협 공격자들은 주로 스미싱 및 피싱과 같은 소셜 엔지니어링 전술과 가짜 다운로드 및 브랜드 사칭을 결합하여 피해자가 악성 APK를 설치하도록 유인하는 등 오랫동안 사용되어 온 TTP에 지속적으로 의존하여 모바일 멀웨어를 전달했습니다. 캠페인에는 인기 브라우저, 암호화폐 플랫폼, 금융 앱, 스트리밍 서비스, 공식 앱 스토어를 모방한 피싱 페이지와 멀웨어 페이로드가 자주 등장했습니다. 보다 표적화된 공격의 경우, 공격자들은 Android.Spy.1292.origin에서 예시된 것처럼 특정 피해자에게 맞춤화된 미끼를 제공합니다, 는 민간인과 러시아 군인 모두가 사용하는 것으로 알려진 GPS 및 지형 지도 앱인 알파인 퀘스트 프로를 사칭하여 러시아 군인을 표적으로 삼았습니다.

위협 행위자들은 멀웨어를 배포하기 위해 Google Play를 악용하는 등 일반적이지 않지만 효과적인 배포 방법도 사용했습니다. 보안 조치가 점점 더 강력해지면서 공식 앱 스토어를 통해 멀웨어를 배포하는 것이 더 어려워졌지만 공격자들은 계속해서 우회 방법을 찾아내고 있습니다. 예를 들어, SpyLend는 '금융 단순화'로 위장하고 외부 다운로드 링크를 통해 악성 페이로드를 오프로드하여 탐지를 회피했습니다. 또한, 드물게 공급망에 대한 침해가 발생한 가운데, 승인되지 않은 소매업체를 통해 판매되는 위조 Android 기기에 사전 설치된 새로운 변종 Triada RAT가 발견되었습니다.

접근성 서비스 악용 사례

일단 설치되면 감염된 디바이스에 대한 광범위한 제어 권한을 부여하는 오랜 전통의 TTP인 브랜드의 접근성 서비스를 악용하는 Android 타깃 멀웨어가 자주 발견되었습니다. 안드로이드 멀웨어는 오버레이 공격을 통해 민감한 정보를 훔치고, 문자 메시지와 푸시 알림을 가로채고, 키로깅, 화면 및 오디오 녹음, OCR 기반 이미지 스캔을 수행하고, 궁극적으로 기기를 장악하여 소위 "온 디바이스 사기"를 용이하게 하는 기능을 악용했습니다.

보고 기간 동안 새로운 오버레이 기법을 도입한 안드로이드 트로이 목마 갓파더가 눈에 띄었습니다. 2025년 6월에 발견된 갓파더의 새로운 반복은 여전히 안드로이드의 접근성 서비스를 악용하는 한편, 샌드박스가 적용된 앱 환경에 Xposed와 같은 오픈 소스 후킹 프레임워크를 결합하는 가상화 기반 오버레이 기술을 사용하는 것이 관찰되었습니다. 이 접근 방식은 기존의 오버레이 공격과 달리 VirtualApp을 사용하여 복제된 뱅킹 앱을 디바이스에 설치하거나 수정하지 않고 실행하는 가상화된 환경을 생성하여 표준 오버레이 탐지 메커니즘을 효과적으로 우회합니다.

비접촉 결제에 대한 위협이 계속 증가하고 있습니다.

2025년 상반기에 모바일 멀웨어는 비접촉 결제 시스템에 대한 위협이 증가했으며, 안드로이드 기기를 대상으로 하는 중국어 MaaS 플랫폼인 SuperCard X의 등장으로 그 예가 되었습니다. 이 멀웨어를 통해 위협 행위자는 피해자를 속여 손상된 휴대폰에 비접촉식 카드를 탭하도록 유도하여 NFC 릴레이 사기를 수행할 수 있습니다. 카드를 탭하면 SuperCard X는 NFC 신호를 캡처하여 공격자가 제어하는 원격 장치로 전달하여 사기 거래 또는 ATM 인출을 용이하게 합니다. 이 기능은 2020년에 개발된 오픈 소스 도구인 NFCGate의 기능과 매우 유사하며, 2024년 체코에서 발생한 NFC 기반 공격과 관련된 안드로이드 멀웨어인 NGate와 유사점을 공유하여 코드 재사용 또는 개념적 중복 가능성이 있습니다.

특히 실제 공격에서 NFCGate 스타일 기법의 사용은 꾸준히 증가하고 있습니다. 2025년 1월, 러시아 사이버 보안 업체인 F6는 2024년 한 해 동안 100건 이상의 NFC 릴레이 공격이 발생했으며 약 40만 달러의 손실이 발생했다고 보고했습니다. 2025년 4월의 후속 보고서에서 F6는 추가로 40건의 NFCGate 기반 공격이 성공했으며 평균 약 1,500달러의 손실이 발생했다고 기록했습니다.

랜섬웨어(Ransomware)

Ransomware 변화된 환경 속에서 제휴사 유치를 위해 혁신하는 그룹들

2025년 상반기에는 랜섬웨어 환경이 계속 진화하여 2024년 비교적 조용했던 CL0P가 클레오 관리형 파일 전송(MFT) 데이터 탈취 캠페인으로 다시 등장했습니다. Recorded Future 랜섬웨어 피해자 데이터에 따르면 이 캠페인은 전 세계 300개 이상의 조직에 영향을 미쳤을 가능성이 있습니다. Akira 및 Play와 같은 그룹의 지속적인 활동과 함께 잘 알려지지 않은 몇몇 신흥 랜섬웨어 그룹이 주목을 받았는데, 이는 2024년 초 LockBit의 인프라 중단과 ALPHV의 출구 사기로 인한 공백과 불확실성이 지속되고 있음을 반영하는 것으로 보입니다.

2025년 초에는 두 가지 추가 사건이 랜섬웨어 환경을 더욱 변화시켰습니다. 2월 초에 내부 채팅 로그가 유출된 후 블랙바스타가 사라졌고, 3월 말에는 랜섬허브가 갑작스럽게 해체되어 협상 중이던 피해자와 제휴사들이 혼란에 빠졌습니다. Insikt Group 는 블랙바스타 멤버들이 이전에 관계를 맺었던 아키라를 포함한 다른 조직으로 이동했을 가능성이 높다고 평가합니다. Group-IB는 또한 피해자 청구 급증, 내부 구조조정, RAMP와 같은 사이버 범죄 포럼에서의 활동 증가를 이유로 들며 일부 랜섬허브 계열사가 2022년 7월부터 활동 중인 서비스형 랜섬웨어(RaaS) 그룹인 Qilin에 합류했을 가능성이 있다고 평가했습니다. 한편, 적어도 2023년 말부터 활동한 랜섬웨어 그룹드래곤포스는 적대적 인수합병의 결과로 랜섬허브의 인프라와 계열사를 흡수했다고 주장했습니다. 드래곤포스는 2025년 5월 7일에 발생한 락빗의 제휴사 관리 패널 훼손 및 제휴사 정보 유출 사건과 2025년 4월 5일에 발생한 에베레스트의 강탈 블로그 훼손 사건의 잠재적 범인으로 지목될 만큼 공격적인 전술을 마다하지 않습니다.

끊임없이 진화하는 랜섬웨어 환경에서 악명을 얻고, 제휴사를 유치하고, 운영을 확장하기 위해 랜섬웨어 위협 공격자들은 비즈니스 모델을 수정했습니다. 드래곤포스는 2025년 3월 중순에 "카르텔"로 브랜드를 변경하여 보다 유연한 제휴 모델을 시작하고 다른 랜섬웨어 그룹을 표적으로 삼았습니다. 새로운 모델에 따라 제휴사는 독립적인 브랜드로 운영하면서 드래곤포스의 인프라와 랜섬웨어 도구를 사용할 수 있습니다. 드래곤포스는 또한 개별 계열사뿐만 아니라 다른 위협 행위자들과 협력하거나 흡수할 수 있다는 개방적인 태도를 보였습니다. 예를 들어, 금전적 동기를 가진 사이버 범죄 집단인 스캐터레이티드 스파이더와 관련된 TTP를 사용하는 위협 공격자들은 영국의 한 소매 회사를 침해하고 드래곤포스 랜섬웨어를 배포한 것으로 알려졌습니다. "카르텔" 접근 방식은 DragonForce를 다른 RaaS 제품과 효과적으로 차별화하며 다양한 위협 행위자에게 어필하여 그룹의 제휴 기반을 넓히고 잠재적 수익을 늘릴 수 있습니다. 하지만 기존의 다른 RaaS 운영을 괴롭혔던 문제를 해결하지는 못합니다. 공유 인프라는 계속해서 위험 요소를 내포하고 있습니다. 한 계열사가 침해당하면 다른 계열사의 운영 및 피해자 정보도 노출될 수 있습니다.

2024년 12월에 처음 발견된 랜섬웨어인 아누비스는 계열사를 유인하기 위해 다른 전술을 사용했습니다. 2025년 2월 말, 그룹은 세 가지 모드를 갖춘 제휴 모델을 선보였습니다. 첫 번째는 Anubis가 랜섬웨어 페이로드를 제공하고 제휴사가 갈취한 몸값의 80%를% 받는 전통적인 RaaS 모델입니다. 두 번째는 데이터 랜섬 모델로, Anubis는 제휴사가 대상 기업에서 이미 탈취한 민감한 데이터를 수익화할 수 있도록 지원합니다. 세 번째 모델은 제휴사가 갈취한 몸값의 50%(% )를 받는 대가로 아누비스 운영자에게 기업 네트워크에 대한 초기 액세스 권한을 제공하는 방식입니다.

마지막으로, 2025년 6월 중순에 치린은 '콜 변호사'라는 새로운 기능을 도입하여 협상 단계에서 피해자를 협박하는 방법에 대한 법률 상담을 제휴사에게 제공했습니다.

새로운 초기 액세스, 방어 회피 및 멀웨어 배포 기법

광범위한 랜섬웨어 환경과 RaaS 제품의 변화와 함께, Insikt Group 은 랜섬웨어 위협 공격자들이 초기 액세스, 방어 회피, 페이로드 배포 등 공격 체인의 여러 단계에 걸쳐 새로운 TTP를 채택하는 것을 관찰했습니다.

• 초기 액세스: 세코이아에 따르면, 인터락 랜섬웨어는 2025년 1월과 2월 사이에 IT 도구를 가장한 사회 공학 공격에 ClickFix를 사용했습니다. 이 보고서의 멀웨어 TTP 동향 및 인사이트 섹션에서 언급했듯이, ClickFix는 가짜 오류 메시지 또는 확인 메시지를 사용하여 피해자를 속여 수동 또는 자동 클립보드 조작을 통해 악성 스크립트를 실행하도록 하는 사회 공학적인 방법입니다.

• 방어 회피: 팔로알토의 Unit42와 ESET에 따르면 랜섬웨어 위협 공격자들은 방어 소프트웨어를 종료하도록 설계된 도구인 'EDR 킬러'를 점점 더 많이 사용하고 있으며, 이러한 추세는 2022년부터 계속되고 있는 것으로 확인되었습니다. 특히, 랜섬웨어 위협 공격자들은 새로운 'BYOI(Bring-Your-Own-Installer)' 기법을 사용하여 EDR을 완전히 무력화하고 있습니다. Aon에서 보고한 바에 따르면, 바북 랜섬웨어 침입에서 공격자는 관리 콘솔 코드 없이도 변조 방지 보호 기능을 우회하기 위해 SentinelOne의 업그레이드/다운그레이드 프로세스의 결함을 악용했습니다. 공격자는 다른 버전의 합법적인 설치 프로그램을 실행하고 업그레이드 도중에 msiexec.exe 프로세스를 종료함으로써 활성 EDR 보호 없이 시스템을 떠났습니다. 이로 인해 보호되지 않은 엔드포인트에서 Babuk 랜섬웨어가 실행될 수 있는 창이 생겼습니다. "온라인 인증" 설정이 활성화되지 않은 경우 우회가 여러 SentinelOne 버전에서 작동하는 것으로 확인되었습니다.

• 페이로드 배포: 트렌드마이크로는 치린 랜섬웨어 공격이 NETXLOADER라고 불리는 심하게 난독화된 맞춤형 .NET 기반 로더를 사용하여 랜섬웨어 페이로드와 스모크 로더를 메모리에 전달했다고 보고했습니다. NETXLOADER는 .NET Reactor로 보호됩니다. 동적 API 호출과 JIT 후킹을 사용하여 은밀하게 암호를 해독하고 페이로드를 메모리에 직접 삽입하여 탐지를 회피합니다.

또한 랜섬웨어 위협 공격자들은 침입하는 동안 흔하지 않은 합법적인 소프트웨어 도구를 사용하여 데이터를 수집하고, 지속성을 확보하며, 탐지를 피하면서 측면으로 이동하는 경우가 거의 확실합니다. 예를 들어, 시만텍은 2025년 6월 중순에 아시아의 금융 기관을 대상으로 한 2025년 5월 포그 랜섬웨어 공격에 일반적으로 랜섬웨어 운영과 관련이 없는 이중 용도 및 오픈 소스 침투 테스트 도구가 사용되었다고 보고했습니다. 여기에는 다음이 포함됩니다:

• Syteca: 키 로깅 및 화면 캡처 기능을 갖춘 합법적인 직원 모니터링 소프트웨어로, Fog 운영자가 스파이 활동 및 자격 증명 도용에 사용한 후 탐지를 회피하기 위해 정리 작업을 수행했을 가능성이 높습니다.
• GC2: GC2: 명령 실행과 파일 유출을 위해 구글 시트 또는 SharePoint를 사용하는 오픈 소스 C2 프레임워크로, Fog 공격자들이 클라우드 기반 통신을 통해 원격 액세스, 지속성, 방어 회피에 사용했을 가능성이 높습니다.
• 어댑틱스: 코발트 스트라이크와 유사한 오픈 소스 사후 익스플로잇 에이전트로, 포그 공격자들이 암호화된 C2를 통해 원격 접속 및 내부 측면 이동에 사용했을 가능성이 높습니다.
• 밀항: 손상된 호스트와 운영자 사이에 은밀한 통신 터널을 생성하는 오픈 소스 프록시 도구로, Fog 운영자가 통신을 프록시하고 Syteca를 전달하여 방어를 회피하는 데 사용했을 가능성이 높습니다.

이 패턴은 포그 랜섬웨어에만 있는 것이 아닙니다. 2025년 7월 CISA 보고서에서는 탐지를 회피하고 액세스를 유지하기 위해 합법적인 도구를 재사용하는 인터락 랜섬웨어 캠페인에 대해 자세히 설명했습니다. 위협 행위자들은 원격 모니터링 및 관리 애플리케이션인 AnyDesk를 설치하여 액세스를 보존하고 파일 전송을 용이하게 했으며, 널리 사용되는 SSH 클라이언트인 PuTTY를 사용하여 은밀한 통신을 위한 터널을 구축하고 손상된 시스템 간에 피벗을 수행했습니다.

랜섬웨어 위협 행위자는 상용 및 이중 사용 소프트웨어를 침입 워크플로에 통합하여 일상적인 관리 활동과 혼합할 수 있으므로 악의적인 행위가 보안 경고를 트리거할 가능성이 낮아집니다. 랜섬웨어 공격자들이 합법적이거나 이중 용도로 사용되는 소프트웨어를 지속적으로 채택하는 것은 탐지를 회피하는 동시에 피해자 네트워크 내에서 적응 가능한 다목적 작업을 가능하게 하도록 설계된 침입 방법에 대한 광범위한 추세를 보여줍니다.

2025년 상반기에도 여전히 높은 마그카트 감염률 유지

2025년 상반기에도 Magecart 전자 스키밍은 계속해서 온라인 판매자를 대규모로 위협했습니다. 감염자 수는 2024년 말 최고치를 기록했던 것과 비슷한 수준을 유지했지만, 최고치보다는 약간 감소했습니다. 2025년 상반기에 수천 개의 이커머스 도메인이 영향을 받았으며, Magecart는 결제 보안에 대한 광범위한 우려를 안고 있습니다. 이러한 지속적인 활동은 2024년에 영향을 받은 이커머스 도메인의 수가 2023년에 비해 약 3배 증가한 전례 없는 Magecart 인시던트의 급증에 따른 것입니다. 이러한 급증은 주로 판매자 웹사이트의 대량 감염을 가능하게 하는 CosmicSting(CVE-2024-34102)이라고 불리는 중요한 Adobe 커머스(Magento) 취약점의 악용에 기인합니다. 예를 들어, 2024년 말에 전 세계 200개 이상의 온라인 상점을 감염시킨 한 마그카트 그룹('부룬두키')만 해도 조직화된 위협 그룹이 발생을 증폭시켰습니다. 2025년 초에 패치와 방어 조치로 CosmicSting의 확산을 억제하기 시작했지만, 전체 마그카트 감염률은 2024년 초 수준보다 상당히 높은 수준을 유지했습니다.

2025년 상반기에 매그카트 운영자들은 전년도에 도입된 멀웨어 키트와 전술을 계속 활용하는 한편, 새로운 플랫폼으로 확장했습니다. 2024년에 처음 관찰된 '스니퍼 바이 플레라스'와 같은 즉시 사용 가능한 전자 스키머 키트는 온라인 상점의 침해 사례에서 여전히 활발히 사용되고 있습니다. 한편, 공격자들은 마젠토를 넘어 마제카트 스키머의 공격 범위를 넓혔습니다. 특히, 마제카트 스키머는 우커머스 플러그인을 악용하여 워드프레스 기반 리테일 사이트로 공격 대상을 확장했습니다. 이 캠페인은 기존 Magento 스토어뿐만 아니라 더 광범위한 이커머스 플랫폼을 타겟팅하여 Magecart 기술의 범위가 어떻게 확장되었는지를 강조합니다.

마지막으로, 마제카트 스키밍 기술은 2025년 상반기에도 계속 발전했습니다. 위협 행위자들은 탐지를 피하기 위해 더 은밀한 로딩 방법을 실험했습니다. 한 예로, 공격자는 모듈식 GTM(Google 태그 관리자) 컨테이너 체인을 사용하여 한 컨테이너가 ::before 콘텐츠 속성 내에 JavaScript를 삽입한 가짜 CSS 파일을 로드했습니다. 그런 다음 두 번째 GTM 컨테이너는 문서 객체 모델(DOM)의 특정 요소를 대상으로 이 숨겨진 코드를 <link> 추출하고 실행하여 실시간 데이터 유출을 위한 웹소켓 연결을 시작합니다. 이러한 기술적 개선은 Magecart 운영의 적응성과 지속적인 웹 보안 조치의 필요성을 강조합니다.

완화 조치

조직은 이 보고서에서 논의된 위협을 완화하기 위해 다음 조치를 사용할 수 있습니다.

취약점 악용

• Recorded Future Vulnerability Intelligence: Recorded Future 고객은 Vulnerability Intelligence 를 통해 특정 보안 요구 사항에 맞게 알려진 공개 및 비공개 취약점에 대한 시기적절하고 포괄적인 인사이트를 확보하여 해결 조치의 우선순위를 정하는 데 도움을 받을 수 있습니다. Vulnerability Intelligence 을 통해 고객은 Insikt Group 에서 만든 Nuclei 템플릿에 액세스하여 새로운 취약점을 사전에 스캔하고 신속하게 탐지할 수 있습니다.
• Recorded Future Attack Surface Intelligence: Recorded Future 고객은 외부 Attack Surface Intelligence 를 사용하여 네트워크 자산에 대한 실시간 가시성을 유지하고, 해결해야 할 노출의 우선순위를 정하고, 보안 제어를 시행할 수 있습니다.

• 자산 및 노출 인벤토리: 원격 액세스 어플라이언스, 엣지 디바이스, 타사 소프트웨어를 포함한 모든 인터넷 연결 호스트에 대한 정기적인 인벤토리를 수행하세요. 2025년 상반기에 자주 악용된 게이트웨이 계층 제품(예: SSL-VPN, 방화벽, 가상화 언더레이)을 우선적으로 모니터링합니다. 예약된 검사를 실행하여 섀도 IT 자산과 새로 노출된 서비스를 식별하여 중요한 보안 공백을 메우세요.

• 애자일 패치 관리: 알려진 공개 PoC 또는 악용이 활발한 취약점에 대한 신속한 패치 배포 워크플로우를 개발하고 시행합니다. 원격으로 악용할 수 있거나, 인증이 필요하지 않거나, 널리 배포된 소프트웨어(예: Microsoft, Ivanti 또는 Fortinet)에 영향을 미치는 취약점의 우선순위를 정하세요. 즉각적인 패치가 불가능한 경우, 완화 제어(예: WAF 규칙 또는 IPS 서명)를 적용하고 영향을 받는 서비스에 대한 액세스를 제한합니다.

• 인터넷 연결 및 보안 어플라이언스 강화: 모든 관리 인터페이스에 다단계 인증을 적용하고 사용하지 않는 서비스나 레거시 서비스(예: 안전하지 않은 SSH 또는 Telnet)를 비활성화하세요. 에지 디바이스 관리 네트워크를 운영 네트워크에서 분리하고, 손상된 VPN 또는 방화벽이 도달할 수 있는 내부 서브넷을 제한하세요.

멀웨어 침입

• Recorded Future 헌팅 패키지: Recorded Future 고객은 Insikt Group 에서 개발한 헌팅 패키지를 구현하여 유명한 멀웨어 제품군과 관련된 침입을 모니터링할 수 있습니다.

• EDR, 휴리스틱 및 행동 기반 분석: EDR 솔루션을 통해 휴리스틱 및 행동 기반 분석을 구현하여 JIT 후킹, 보호 페이로드, 메모리 인젝션과 같은 위협 행위자 TTP를 탐지하고 대응합니다. EDR 도구를 배포할 뿐만 아니라 적극적으로 모니터링하고 업데이트해야 합니다.
• 애플리케이션 허용 목록 및 스크립트 제어: 엄격한 애플리케이션 허용 목록 및 실행 제어 정책을 시행하여 무단 스크립트 실행을 방지하세요.
• 직원 교육: 클릭픽스와 같은 새로운 또는 업데이트된 소셜 엔지니어링 미끼와 같이 널리 퍼지는 악성코드가 사용하는 최신 전달 및 실행 기법에 대해 직원들에게 교육하세요.

마그카트 공격

• Recorded Future Payment Fraud Intelligence: Recorded Future 고객은 Payment Fraud Intelligence 를 사용하여 진행 중인 Magecart 전자 스키머 감염을 모니터링하고, 최신 Magecart TTP를 최신 상태로 유지하고, 예방 전략을 강화하고, 사기가 발생하기 전에 손상된 카드에 대한 조치를 취할 수 있습니다.

• 정기적인 보안 감사 및 취약점 스캔: 보안 감사 및 자동화된 취약점 스캔을 정기적으로 수행하여 이커머스 웹사이트의 기반이 되는 기술에 영향을 미치는 취약점을 식별하고 해결하세요.

• 콘텐츠 보안 정책(CSP): 이커머스 웹사이트에 로드되는 리소스를 제어하고 무단 스크립트의 실행을 방지하기 위해 엄격한 CSP를 배포 및 업데이트하세요.

• 타사 연동 모니터링: 전자상거래 웹사이트에서 사용되는 모든 타사 스크립트 및 통합을 자주 감사하고 보안을 유지합니다. 이러한 통합 기능을 모니터링하고 액세스를 제한하여 무단 수정을 방지하세요.

• PCI DSS 4.0 요구 사항 6.4.3 및 11.6.1을 시행합니다: 2025년 3월 31일부터 결제 카드 데이터를 취급하는 조직은 이제 요구 사항 6.4.3 및 11.6.1을 의무적으로 준수해야 합니다. 이러한 규정에는 모든 결제 페이지 스크립트의 문서화된 인벤토리, 각 스크립트에 대한 명시적인 승인 및 비즈니스 정당성, 무결성 모니터링, 무단 수정에 대한 경고를 통한 실시간 변경 감지 등이 필요합니다.

전망

Insikt Group 은 2025년의 남은 기간 동안 엣지 보안 어플라이언스, 원격 액세스 도구, 기타 게이트웨이 계층 소프트웨어의 악용이 국가 지원 및 재정적 동기를 가진 위협 행위자 모두에게 최우선 과제로 남을 것이라고 평가합니다. 이러한 시스템의 전략적 가치(암호화된 트래픽과 권한 있는 액세스를 위한 중개자 역할)로 인해 높은 보상 대상이 되고 있습니다. 2025년 상반기에서 볼 수 있듯이 Microsoft, Fortinet, Ivanti 등의 제품에서 발견된 취약점은 공개 이후에도 계속 악용되고 있으며, 특히 PoC 코드가 공개되면 더욱 심각하게 악용되고 있습니다. 특히 기업 전반에서 취약점 공개와 패치 적용 사이의 시차가 점점 더 커지고 있다는 점을 고려할 때 이러한 추세는 더욱 가속화될 것으로 Insikt Group은 예상하고 있습니다.

가파른 채택 곡선을 고려할 때, ClickFix는 2025년까지 초기 액세스 기술로 선호될 것이 거의 확실하다고 Insikt Group 는 평가합니다. 광범위한 완화 조치나 인식 제고 캠페인으로 그 효과가 감소하지 않는 한, 이 기술의 배포 용이성과 효과로 인해 단기간 동안은 그 확산세가 지속될 것으로 보입니다.

멀웨어 개발은 레거시 코드의 용도 변경과 스텔스 기술의 정교화라는 두 가지 경로를 통해 계속될 것으로 예상됩니다. 살리티와 토프시의 부활과 함께 더욱 발전된 로더와 JIT 후킹과 같은 우회 전달 메커니즘은 공격자들이 서명 기반 방어를 무력화하기 위해 계속해서 오래된 도구와 최신 난독화 기술을 혼합할 것임을 시사합니다. Insikt Group 는 지속적인 접근과 데이터 도용을 위한 접근성과 다용도성 때문에 상품성 RAT가 계속 각광받을 것으로 예상합니다.

모바일 멀웨어는 특히 비접촉 결제 사기와 가상화 기반 회피 기술의 증가로 인해 사이버 범죄에서 점점 더 중요한 역할을 하게 될 것입니다. 위협 행위자들은 계속해서 모바일 뱅킹과 NFC 기술을 표적으로 삼아 가짜 앱 배포와 공급망 손상을 모두 활용하여 대규모로 디바이스를 감염시킬 것입니다.

랜섬웨어 생태계에서 Insikt Group 는 비즈니스 모델과 제휴 구조에 대한 실험이 계속될 것으로 예상합니다. "드래곤포스가 도입한 것과 같은 '카르텔' 스타일의 접근 방식은 유연한 제휴 계층과 법적 협박 지원과 같은 서비스와 함께 락빗 이후의 환경에서 차별화와 회복력을 추구하는 그룹이 늘어나면서 주목을 받을 것으로 보입니다. 방어자들이 엔드포인트 및 네트워크 모니터링을 개선함에 따라 BYOI 익스플로잇과 비밀번호로 보호되는 페이로드를 포함한 방어 회피 및 배포에 대한 혁신이 지속될 것으로 보입니다.

마그카트 활동은 2025년 말까지 꾸준히 유지되거나 더욱 고도화될 것으로 예상됩니다. 이커머스가 여전히 수익성이 높은 표적이 되면서 위협 공격자들은 더욱 모듈화되고 은밀한 스키밍 방법을 채택하여 Google 태그 관리자 같은 합법적인 서비스를 악용하거나 WooCommerce 같은 플랫폼에서 패치되지 않은 플러그인을 악용할 가능성이 높습니다. 공격자들이 점점 더 엄격한 콘텐츠 보안 정책을 우회하기 위해 모호한 HTML 태그, CSS 속성, 난독화된 JavaScript 전달 메커니즘을 지속적으로 악용할 가능성이 높습니다.

전반적으로 2025년 상반기 트렌드는 방어자가 노후화된 멀웨어가 최첨단 전송 체인과 함께 다시 등장하고 모바일 플랫폼 및 엣지 시스템이 악용의 중심이 되는 하이브리드 위협 환경에 대비해야 함을 시사합니다. 크로스 플랫폼 가시성, 더 엄격한 앱 및 게이트웨이 보안, 선제적 인텔리전스 통합은 하반기까지 진화하는 이러한 위험을 관리하는 데 매우 중요합니다.