2026년의 사이버 위협 지형은 단순한 기술적 정교함을 넘어 결과 중심의 '효율성 측정(MOE, Measure of Effectiveness)'을 최우선시하는 산업화된 구조로 진화했습니다. 공격자들은 이제 막대한 비용이 드는 제로데이 취약점 대신 탈취된 세션 토큰이나 신뢰받는 클라우드 도구를 활용하여 방어망을 교묘히 우회하고 있습니다. 이번 보고서는 이러한 고신뢰 기반 착취 모델과 AI 기반의 고속화된 공격 전략에 대응하기 위한 전략적 로드맵을 제시합니다.

공격의 새로운 기준: 효율성 측정(MOE)의 부상

현대의 공격자들은 복잡하고 값비싼 일회성 해킹 기법보다는 최소한의 노력으로 최대의 결과를 얻을 수 있는 '처리량(Throughput)' 중심의 MOE 지표를 따릅니다.
공격자들은 비싼 제로데이 취약점을 찾는 대신, 이미 인증된 세션 토큰을 탈취하거나 평판이 좋은 클라우드 인프라(LotX)를 활용해 탐지를 피하면서 전달률을 높이는 경제적 선택을 합니다.
AI는 민감 데이터의 연결 고리를 식별하는 작업을 자동화하여, 공격자가 가장 짧은 시간 내에 임무를 완수할 수 있는 연속적인 시스템을 구축하도록 돕습니다.

2026년의 8대 핵심 보안 트렌드

AI 기반 고속 운영: 생성형 AI를 활용한 실시간 네트워크 매핑과 공격 코드 개발, 딥페이크 제작이 보편화되면서 숙련도가 낮은 공격자도 고영향도 작전을 수행할 수 있게 되었습니다.
국가 주도 인프라 침투: 중국 기반 공격 그룹인 Salt Typhoon과 Linen Typhoon 등은 장기적인 지정학적 우위를 점하기 위해 북미의 통신, 정부, IT 서비스 인프라에 사전 침투해 거점을 마련하고 있습니다.
SaaS 통합 리스크 확장: 과도한 권한이 부여된 서드파티 API 연동(Salesloft 사례 등)을 통해 단일 접점의 침투가 수백 개의 기업 환경으로 확산되는 연쇄 피해가 발생하고 있습니다.
신뢰 기반 도구의 무기화: 구글 캘린더, 드롭박스, 깃허브 등 합법적인 SaaS 및 IaaS 도구를 악용해 명령 및 제어(C2) 트래픽을 정상적인 기업 활동처럼 위장합니다.
딥페이크 위장 취업: 북한의 국가 주도 해커들이 딥페이크와 허위 신분으로 서구 기업에 원격 IT 인력으로 위장 취업하여 첩보 활동과 불법 수익 창출을 병행하고 있습니다.
다중 인증(MFA) 무력화: LummaC2와 같은 정보 탈취 도구를 사용해 활성 세션 토큰을 직접 수확함으로써, 기존의 다중 인증 절차를 건너뛰고 바로 사후 인증 단계로 진입합니다.
브랜드 위장 피싱: 메일 서버의 발신자 재검증 허점을 노린 피싱 봇들이 신뢰도 높은 브랜드로 위장해 사용자 편지함에 직접 침투하는 사례가 늘고 있습니다.
초대형 DDoS 공격: Aisuru와 같은 대규모 봇넷을 이용한 하이퍼 볼륨 DDoS 공격이 기록을 경신하며, 인간이 대응할 수 있는 시간적 여유를 완전히 박탈하고 있습니다.

클라우드 서비스의 'Living off the Land' 전략

공격자들은 자체 악성 서버를 운영하는 대신 구글 드라이브, MS 팀즈, 아마존 S3와 같은 합법적인 클라우드 생태계를 활용하는 'Living off anything-as-a-service' 전략을 구사합니다.
Amazon SES나 SendGrid와 같이 대량 메일 발송을 위해 설계된 서비스를 악용하여 정교한 피싱 및 멀웨어를 유포함으로써 기존 스팸 필터를 효과적으로 우회합니다.
이러한 방식은 신뢰받는 서비스의 외피를 입고 수행되기에 정상적인 기업 트래픽과 구분이 거의 불가능하며, 공격 인프라의 확장성과 신뢰성을 동시에 확보해 줍니다.

조직은 더 이상 고전적인 경계 보안이나 단순 기술적 방어에만 의존해서는 안 됩니다. 공격자들의 MOE 중심 전략을 이해하고, 신뢰받는 SaaS 도구에 대한 가시성 확보 및 세션 토큰 보호와 같은 'ID 중심 보안' 체계로의 근본적인 전환이 필요합니다.