침해당한 기술 패권: 크라우드스트라이크 2026 보고서가 밝힌 AI 탈취 전쟁의 실태

AI의 근간이 되는 구성 요소, 즉 모델, 훈련 데이터, 연구 파이프라인이 이제 국가가 후원하는 첩보 활동의 주요 표적이 되었다 . MURKY PANDA, MUSTANG PANDA, OVERCAST PANDA, SUNRISE PANDA, WARP PANDA와 같은 특정 중국 연계 공격 그룹들이 다른 어떤 산업보다 기술 부문을 집중적으로 공격하는 모습이 포착되었다 . 보고서는 이러한 활동을 즉각적인 금전적 이득보다는 장기적인 전략 목표 달성을 목표로, 공급망 침해를 통해 지원되는 장기 정보 수집 활동으로 규정한다 .

북한, 신뢰를 무기로 한 접근 작전 확장

북한 연계 위협 행위자들은 기술 기업을 겨냥한 독특한 작전 프로필을 구축했다. 이들은 전통적인 침투 방식에만 의존하지 않고, IT 인력 침투(서구 기술 기업에 원격 계약직 요원으로 잠입시키는 것)와 소프트웨어 공급망을 손상시켜 신뢰할 수 있는 접근 권한을 확보하는 방식으로 영향력을 확장하고 있다 .

기술 분야에 초점을 맞춘 이 보고서는 이러한 신뢰 기반 접근 작전을 강조하지만, 연계 발간된 '2026 금융 서비스 위협 보고서(2026 Financial Services Threat Landscape Report)'는 더 광범위한 북한의 캠페인을 보여준다. 이 보고서는 2025년 한 해 동안 DPRK(북한) 연계 공격자들이 수십억 달러 규모의 디지털 자산을 훔쳤고 AI 기반 기만을 통해 사이버 범죄를 산업화했다고 폭로한다 . 특히 FAMOUS CHOLLIMA 그룹은 작전 속도를 두 배로 끌어올렸으며, PRESSURE CHOLLIMA 그룹은 트로이 목마화된 소프트웨어를 공급망 침해로 유포하여 사상 최대 규모의 금융 절도인 14억 6천만 달러(약 2조 원) 상당의 암호화폐를 탈취했다 .

eCrime 가속화: 침투에서 확산까지 단 29분

금전적 이득을 노리는 사이버 범죄자들은 초기 접근 브로커, 랜섬웨어 운영자, 갈취 그룹을 앞세워 기술 조직에 대한 작전을 대폭 강화했다 . 함께 발표된 2026 글로벌 위협 보고서에 따르면, 2025년 eCrime의 평균 침투 소요 시간, 즉 초기 접근에서 내부 확산까지 걸리는 시간이 단 29분으로 떨어졌으며, 이는 2024년 대비 속도가 65% 증가한 수치다 . 가장 빠르게 관측된 침투 사례는 초기 접근에서 데이터 탈취까지 2분도 채 걸리지 않았으며, 한 사건은 단 27초 만에 모든 것이 이루어졌다 .

상호작용형 인간 주도 침투, 이른바 ‘핸즈-온-키보드’ 공격은 지난 2년간 43% 증가하여 공격자들에게 표적의 가치에 따라 절도, 갈취, 정보 수집 사이를 유연하게 이동할 수 있는 작전적 유연성을 제공하고 있다 . 인간이 직접 작전을 수행하는 방식으로의 전환은 공격자들이 정상적인 관리자 행동에 섞여들어가 탐지를 훨씬 더 어렵게 만든다는 것을 의미한다 .

공급망과 신뢰 악용이라는 구조적 문제

공격자들은 전통적인 멀웨어에 의존하는 대신, 신뢰할 수 있는 관계, 유효한 자격 증명, SaaS 통합 및 소프트웨어 공급망을 점점 더 많이 악용하고 있다 . 이 보고서는 공격자들이 합법적인 도구와 AI 강화 사회공학 기법을 이용해 시그니처 기반 방어 체계를 우회하는 ‘땅에 살기(정상 도구 악용)’ 전략을 구사함에 따라, 2025년 탐지된 위협의 82%가 악성코드와 무관했다고 기록한다 .

AI 플랫폼과 개발자 도구가 이제 직접적인 공격을 받고 있다. 적들은 신뢰할 수 있는 리포지토리, CI/CD 파이프라인, 그리고 워크플로우를 손상시켜 하위 표적에 대한 지속적인 접근 권한을 확보한다 . 이러한 공급망 접근 방식은 각 표적을 직접 침해할 필요 없이, 손상된 단 하나의 개발 도구가 수십 또는 수백 개의 조직으로 접근 권한을 연쇄적으로 확산시킬 수 있음을 의미한다.

확장되는 AI 공격 표면

인공지능은 보고 기간 동안 이중 위협으로 떠올랐다. AI 활용 공격자 활동은 전년 대비 89% 증가하여 피싱, 정찰, 사회공학, 기술적 작전을 가속화했다 . 공격자들은 ChatGPT, Gemini, DeepSeek과 같은 공개적으로 이용 가능한 생성형 AI 도구를 사회공학, 멀웨어 개발, 작전 계획 수립에 활용했다 .

동시에 AI 시스템 자체가 새로운 공격 표면이 되었다. 90개 이상의 조직에서 합법적인 AI 도구가 악용되어 악성 명령을 생성하거나 민감한 모델을 탈취당했다 . 이 보고서는 공격자들이 상용화된 생성형 AI 도구에 유해 프롬프트를 주입하고, AI 개발 플랫폼을 오용하여 지식 재산을 빼내는 사례를 기록하고 있다 .

보고서는 2025년을 ‘회피형 공격자의 해’로 규정하며, 신뢰할 수 있는 관계를 표적으로 삼고, AI 도구에 능숙함을 보이며, 엔드포인트, ID, SaaS 및 클라우드 환경 전반의 보안 사각지대를 파고드는 정교한 기술이 결합된 공격이 두드러졌다고 설명한다 .

크라우드스트라이크의 보고서는 기술 기업들이 더 이상 과거의 접근 방식으로는 이렇게 복합적으로 수렴하는 위협으로부터 스스로를 방어할 수 없다는 점을 분명히 한다. 공격자들이 초기 침투에서 내부 확산까지 30분도 채 걸리지 않고, 대부분의 공격이 멀웨어 시그니처를 남기지 않는 시대에, 기존의 악성 지표 기반 탐지 전략은 근본적으로 무력하다. 세상에서 가장 앞선 기술을 구축하는 이 산업 부문은 이제 세상에서 가장 치열하게 다투어지는 디지털 영토가 되었다.