서버 해킹·DDoS 공격 급증…백업 시스템까지 랜섬웨어 감염

[뉴스웍스=박광하 기자] 올해 상반기 사이버 침해사고 신고 건수가 1034건으로 전년 동기 대비 15% 증가했다. 특히 서버 해킹이 전체 사고의 절반 이상을 차지하며 가장 큰 비중을 보였다. 분산 서비스 거부(DDoS) 공격도 지난해 상반기보다 55.5% 급증하면서 기업들의 보안 대응 필요성을 일깨워줬다. 정보통신업이 가장 많은 피해를 입었고, 랜섬웨어 공격의 경우 백업 시스템까지 감염되는 사례가 많아 기업들의 각별한 주의가 요구된다.

과학기술정보통신부와 한국인터넷진흥원(KISA)이 7일 이런 내용의 '2025년 상반기 사이버 위협 동향 보고서'를 공개했다.

◆침해사고 신고건 전년동기에 비해 15% 증가

보고서에 따르면 올해 상반기 침해사고 신고 건수가 1034건으로 전년 동기 899건 대비 15% 증가했다. 연도별 침해사고 신고 통계를 보면 2023년 1277건에서 2024년 1887건으로 전년 대비 약 48% 늘어났다. 2023년부터 2025년 상반기까지 반기별 통계는 2023년 상반기 664건, 하반기 613건, 2024년 상반기 899건, 하반기 988건, 2025년 상반기 1034건을 기록했다.

과기부는 침해사고 신고 건수 증가의 주요 원인을 계정 관리가 취약한 사물인터넷(IoT) 등을 활용한 DDoS 공격(238건), 웹셸(Web Shell)이나 악성 URL 삽입 등 서버 해킹(531건) 증가로 분석했다. 지난해 8월 14일 개정·시행된 정보통신망법에 따라 침해사고 정황 인지 후 24시간 이내 신고 규정이 생겼고, 올해 4월 발생한 SK텔레콤 침해사고 여파로 기업들의 침해사고 신고 인식이 개선된 것도 신고 건수 증가의 원인으로 판단했다. 올해 월별 침해사고 신고 건수는 1월 88건, 2월 129건, 3월 138건, 4월 171건, 5월 233건, 6월 275건으로 나타났다.

유형별 침해사고 신고 현황을 보면 서버 해킹이 531건(51.4%)으로 가장 큰 비중을 차지했다. 2024년 상반기 504건에 비해 소폭 증가한 수치다. 다음으로는 DDoS 공격이 238건(23.0%)으로 뒤를 이었다. DDoS 공격은 전년 상반기 153건 대비 55.5%나 급증했으며, 이 중 DNS 서버에 과부하를 유발하는 'DNS 쿼리 플러딩(DNS Query Flooding)' 공격 유형이 71%를 차지했다. 악성코드 감염은 115건(11.1%)으로 나타났고, 이 중 랜섬웨어 공격은 82건(7.9%)이었다.

랜섬웨어로 인한 피해 기업의 신고 건수는 2023년 상반기 134건, 2024년 상반기 92건, 2025년 상반기 82건으로 감소 추세다. 그러나 중소기업과 중견기업의 침해사고 비중이 전체의 93%를 차지해, 정보보호 전문인력 채용이나 보안 솔루션 도입 등에 대한 투자가 부족한 기업들의 취약성이 여전함을 보여준다. 랜섬웨어 침해사고 관련 기관들의 백업 비중은 2023년 상반기 47%에서 2025년 상반기 76.8%로 늘었지만, 2025년 상반기에는 백업까지 감염된 경우가 44.4%에 달하는 것으로 파악됐다.

업종별 침해사고 신고 통계를 보면 정보통신업이 390건으로 가장 많았고, 전년 상반기 302건 대비 29% 증가했다. 제조업은 157건, 도매 및 소매업은 132건, 협회 및 단체 등은 59건을 기록했다.

◆국민 생활 불편 야기한 침해사고 잇따라

올해 상반기에는 국민 생활에 밀접한 분야에서 침해사고가 다수 발생하며 국민 불안감이 커졌다.

1월에는 GS리테일이 크리덴셜 스터핑 공격으로 고객정보를 유출당했고, 2월에는 국내 블록체인 개발업체 위믹스와 글로벌 가상자산거래소 바이비트에서 가상자산 유출 사고가 발생했다. 3~4월에는 법인보험대리점이 소프트웨어(SW) 공급망 공격으로 개인정보를 유출했고, 4월에는 SK텔레콤에서 대규모 개인정보 유출 사고가 일어났다. 같은 달 구인구직 플랫폼 알바몬과 교통결제 플랫폼 티머니도 크리덴셜 스터핑 공격으로 개인정보 유출 피해를 겪었다. 6월에는 온라인 서점 예스24가 랜섬웨어 공격을 받아 약 5일간 모든 서비스가 중단되는 사고가 발생했다.

SK텔레콤의 내부 시스템 해킹에 따른 대규모 고객 유심(USIM) 정보 유출 사태는 올해 상반기 국내 침해사고 중 가장 큰 규모의 정보 유출 사고로 평가받는다. 과기부와 KISA는 민관합동조사단을 구성해 조사에 나섰고, SK텔레콤의 서버 계정 정보 관리 부실, 과거 침해사고 대응 및 주요 정보 암호화 조치 미흡을 확인했다. 타 통신사 대비 정보보호 투자 미흡 등 기본적인 정보보호 활동의 문제점을 확인해 재발 방지 조치를 진행했다. 침해사고 신고 지연, 과거 사고 미신고, 자료 보전 명령 위반 등 정보통신망법상 준수 의무 위반 사항을 확인해 과태료 등 행정 조치를 진행 중이다.

예스24 랜섬웨어 사고는 기업의 금전적 피해가 약 100억원 규모로 추산되며, 약 2000만명의 전체 회원 정보도 유출됐을 가능성이 있어 개인정보보호위원회에서 분석 중이다. 사고 발생 시 투명하지 않은 대응으로 비판을 받기도 했다. 특히 정부가 강조해온 주요 데이터에 대한 오프사이트 백업 체계가 구축되지 않아 재감염 위험 등의 우려가 제기됐다. 아울러 예스24는 사고 발생 시 투명하지 않은 사고 대응으로 국회와 언론의 비판을 받았다.

가상자산 탈취 공격도 심각한 금전적 피해를 야기하는 주요 공격 유형이다. 2월에 발생한 바이비트 해킹 사건은 약 15억달러(약 2조700억원) 규모의 가상자산이 도난당해 사상 최대 규모의 피해 사례로 기록됐다. 공격자는 거래소 지갑 보안 솔루션 회사의 개발자 PC를 해킹한 뒤, 지갑 운영 서비스에 가상자산 거래를 변조하는 코드를 삽입하는 방식으로 자산을 탈취했다. 위믹스 해킹 사건은 플랫폼과 연계된 대체 불가 토큰(NFT) 서비스의 모니터링 시스템 인증키가 해킹돼 가상자산이 유출됐다. 이 두 사건은 SW 공급망 보안과 연계된 다른 서비스에 대한 상시 보안 취약점 점검 조치의 중요성을 보여줬다.

4월에는 보험회사와 계약을 맺고 보험 판매를 전문으로 하는 법인보험대리점(GA)의 개인정보 유출 사고가 발생했다. 이번 사고는 최초 국가정보원이 GA 2개사의 개인정보 침해사고 정황을 탐지해 금융감독원에 공유한 후 조사가 진행됐다. 조사 결과 솔루션 개발자의 PC가 웹 서핑 중 정보유출 악성코드에 감염돼 PC에 저장돼 있던 고객사(GA) 시스템 접속 계정이 탈취됐다. 이후 공격자가 해당 정보를 이용해 GA사 시스템에 침투한 다음 정보를 유출한 것으로 확인됐다.

크리덴셜 스터핑 공격으로 인한 개인정보 유출 사고도 빈번했다. GS25 편의점 웹사이트에 대한 공격으로 고객 9만여 명의 정보가 유출됐고, 이후 GS숍 홈쇼핑 웹사이트에서도 약 158만건의 고객정보가 유출된 사실이 확인됐다. 4월에는 구인구직 플랫폼 알바몬과 교통결제 플랫폼 티머니도 같은 방식으로 개인정보 유출 피해를 입었다. 크리덴셜 스터핑 공격은 공격 난이도가 낮지만, 여러 웹사이트에 같은 아이디와 비밀번호를 사용하는 이용자가 많아 큰 피해로 이어진다.