Verizon DBIR 2026: 데이터 침해의 주요 진입점이 된 소프트웨어 취약점

과거처럼 사용자에게 피싱 메일을 보내는 대신, 많은 공격자들은 인터넷을 자동 스캔해 패치되지 않은 시스템을 찾고 즉시 공격하는 방식을 사용한다.

AI가 공격 속도를 크게 높이고 있다

이번 보고서에서 가장 큰 변화 중 하나는 AI가 사이버 공격의 속도를 크게 높이고 있다는 점이다.

Verizon은 AI가 공격자가 취약점을 더 빠르게 찾고 익스플로잇을 개발하도록 돕고 있으며, 그 결과 공격까지 걸리는 시간이 수개월에서 수시간으로 단축되기도 한다고 설명했다.

AI는 다음과 같은 작업을 자동화하면서 공격 능력을 크게 확장한다.

• 대규모 취약점 스캔 자동화
• 악성코드 및 익스플로잇 개발 가속
• 광범위한 정찰 및 시스템 탐색
• AI 생성 피싱 및 사회공학 메시지

이러한 자동화 덕분에 공격자는 수천 개의 시스템을 동시에 탐색하고 발견 즉시 공격을 시도할 수 있다.

조직 내부의 ‘Shadow AI’와 봇 공격 증가

보고서는 AI 사용 자체가 새로운 조직 보안 위험을 만들고 있다는 점도 강조한다.

특히 직원들이 보안 승인 없이 사용하는 AI 도구, 이른바 ‘Shadow AI’ 사용이 빠르게 늘고 있다. Verizon에 따르면 직원의 45%가 승인되지 않은 AI 도구를 사용하고 있는 것으로 나타났다.

이 경우 기업 내부 정보가 다음과 같은 방식으로 외부 플랫폼에 노출될 위험이 있다.

• 민감한 문서나 코드 입력
• 고객 데이터 일부 복사
• 내부 정책 및 전략 정보 공유

동시에 AI는 봇 기반 공격 활동도 강화하고 있다. 공격자는 AI를 활용해 다음과 같은 활동을 자동화한다.

• 대규모 계정 대입 공격(credential stuffing)
• 취약점 스캔
• 사회공학 캠페인
• 계정 탈취 및 금융 사기 시도

이러한 자동화 공격은 인간 공격자만으로는 불가능한 규모와 속도로 실행될 수 있다.

느린 패치 속도가 공격자에게 유리한 환경을 만든다

취약점 기반 공격이 증가하는 이유 중 하나는 많은 조직이 패치를 충분히 빠르게 적용하지 못하기 때문이다.

이전 DBIR 분석에 따르면 경계 장비(perimeter device)의 취약점 중 약 54%만 완전히 수정되었으며, 이를 해결하는 데 중간값 기준 32일이 걸렸다.

2026년 데이터 분석에서는 상황이 더 악화된 것으로 보인다.

• 조직이 해결해야 할 치명적 취약점 수가 50% 증가
• 평균 패치 완료 시간 32일 → 43일 증가

이로 인해 공격자와 방어자 사이에는 시간 격차가 생긴다.

공격자는 취약점을 몇 시간 또는 며칠 안에 공격할 수 있지만, 기업의 패치 프로세스는 몇 주 이상 걸리는 경우가 많기 때문이다.

서드파티 침해가 공격 표면을 확대

또 하나의 큰 변화는 서드파티 생태계가 데이터 침해에서 차지하는 비중이 커지고 있다는 점이다.

2025년 DBIR에서는 이미 서드파티 관련 침해 비율이 15%에서 30%로 두 배 증가했다.

2026년 분석에서는 약 48%의 침해에서 서드파티가 관련된 것으로 나타났다.

이는 기업이 내부 보안을 강화하더라도 다음과 같은 외부 파트너가 공격 대상이 될 수 있음을 의미한다.

• 소프트웨어 공급업체
• 클라우드 서비스 제공자
• 관리형 서비스 제공업체(MSP)
• 인증 및 아이덴티티 플랫폼

현대 기업은 복잡한 디지털 공급망에 연결되어 있기 때문에 공격자는 가장 약한 연결 고리를 노리는 경향이 점점 강해지고 있다.

모바일 중심 사회공학 공격의 성공률 증가

사람을 겨냥한 공격 방식도 변화하고 있다.

보고서에 따르면 모바일 기반 사회공학 공격의 성공률은 이메일 피싱보다 40% 더 높다.

이러한 현상에는 몇 가지 이유가 있다.

• 직원들이 스마트폰에서 MFA 승인 요청을 처리
• SMS나 메신저는 보안 도구의 모니터링이 제한적
• 모바일 알림에 더 빠르게 반응하는 사용자 행동

공격자들은 여기에 AI로 생성한 메시지, 음성 복제, QR 코드 사기 등을 결합해 신뢰도를 높이고 있다.

보안 전략이 바뀌고 있다

2026년 DBIR이 전달하는 핵심 메시지는 분명하다. 사이버 보안 위험의 중심이 ‘신원 기반 공격(credential 중심)’에서 ‘노출 기반 공격(exposure 중심)’으로 이동하고 있다는 것이다.

따라서 조직은 단순히 계정 보호만 강화하는 것이 아니라 외부에 노출된 시스템과 취약점을 얼마나 빠르게 관리하느냐에 더 집중해야 한다.

보고서가 강조하는 주요 보안 우선순위는 다음과 같다.

• 취약점 패치 속도와 노출 관리 개선
• 조직 내부 AI 도구 사용에 대한 명확한 거버넌스
• 서드파티 및 공급망 접근 권한 모니터링 강화
• 모바일 중심 피싱과 사회공학 대응 전략 구축

AI가 공격 자동화와 취약점 탐색을 동시에 가속하는 환경에서, 보안 팀의 가장 큰 과제는 공격자의 속도와 조직의 대응 속도 사이의 격차를 줄이는 것이다.