구글 위협 인텔리전스 그룹(GTIG)은 2025년 발생한 90건의 제로데이 공격을 분석한 연례 보고서를 발표했다. 이번 보고서는 공격 환경에서 나타난 구조적·기술적 변화에 주목하며, 특히 공격자들의 주요 타깃이 개인 사용자에서 엔터프라이즈 인프라로 본격 이동한 점을 강조했다. 공격자들은 네트워크 장비와 서버 등 기업 핵심 인프라의 취약점을 직접 공략하며, 엔드포인트 탐지 및 대응(EDR) 기술이 미흡한 에지 디바이스를 집중 공격하는 경향을 보였다. 2025년 제로데이 공격 중 약 48%가 엔터프라이즈를 대상으로 발생했으며, 이는 2024년부터 시작된 추세의 가속화다.
특히 이번 보고서에서 처음으로 상업용 감시 소프트웨어(CSV) 제작 업체가 주도하는 제로데이 공격이 기존 국가 지원 해커 그룹 공격을 넘어섰다. 이는 제로데이 공격 수단이 민간시장으로 확대되며 누구나 강력한 공격 도구를 획득할 위험에 놓였음을 의미한다. 중국 연계 사이버 스파이 그룹은 2025년에도 활발히 활동하며 에지 디바이스를 주요 거점으로 삼았고, 북한 연계 그룹은 2025년에 제로데이 공격이 감지되지 않았다.
AI 기술은 2026년 공격자와 방어자 간 경쟁을 가속화할 전망이다. AI는 취약점 탐색과 공격 코드 개발 속도를 높이며, 방어자는 AI 기반 보안 에이전트를 활용해 취약점 선제 대응과 신속한 패치 작업에 집중할 것으로 예상된다.
또한 제로데이 공격의 새로운 패러다임으로, 일부 스파이 그룹이 기업 소스 코드 등 지식 재산을 탈취해 이를 바탕으로 추가 제로데이 취약점을 발굴·공격에 활용하는 악순환이 부상했다. 2025년 중국 연계 스파이 그룹의 브릭스톰(BRICKSTORM) 악성코드 캠페인이 이 사례를 대표한다. 이 같은 변화는 기업의 보안 사각지대가 확대되면서 제로데이 공격 위험이 장기적으로 심화될 수 있음을 시사한다.
Google Threat Intelligence Group (GTIG) released its annual report analyzing 90 zero-day attacks that occurred in 2025. The report highlights structural and technical changes in the attack landscape, notably the shift of attackers’ primary targets from individual users to enterprise infrastructure. Attackers increasingly focused on exploiting vulnerabilities in critical enterprise network devices and servers, with particular emphasis on edge devices lacking sufficient endpoint detection and response (EDR) capabilities. Approximately 48% of zero-day attacks in 2025 targeted enterprise environments, accelerating a trend that began in 2024.
For the first time, commercial surveillance software (CSV) vendors led zero-day attacks, surpassing those by state-sponsored hacker groups. This signals that zero-day attack tools are becoming commoditized and more widely accessible, raising serious security risks. Chinese-linked cyber espionage groups remained highly active in 2025, focusing on edge devices as strategic footholds, whereas North Korean-linked groups showed no detected zero-day attacks that year.
Artificial intelligence (AI) is expected to accelerate the cyber arms race between attackers and defenders in 2026. AI will speed up reconnaissance, vulnerability discovery, and exploit development, putting increased pressure on defenders who will respond by deploying AI-enabled security agents to proactively identify vulnerabilities and rapidly patch them before exploitation.
Additionally, a new zero-day attack paradigm has emerged where certain espionage groups steal corporate intellectual property such as source code and development documents. They use this stolen information to discover new zero-day vulnerabilities and launch subsequent attacks, creating a dangerous cycle. The 2025 BRICKSTORM malware campaign, attributed to a Chinese-linked espionage group, exemplifies this trend. Such developments reflect expanding security blind spots in enterprises and suggest that zero-day attack risks may intensify over the long term.
댓글 없음:
댓글 쓰기