2025 상반기 사이버 위협 동향 리포트

2025 상반기 사이버 위협 동향 리포트

국내 침해사고 신고 추이, 유형별·업종별 분포, 상반기 주요 이슈, 랜섬웨어/크리덴셜 스터핑/공급망/가상자산 침해 및 MCP·A2A 보안까지 종합 분석

Executive Snapshot

핵심 요약

• 침해사고 신고 2025 상반기 1,034건으로 사상 최고 반기치 경신. 전년 상반기 대비 +15% 증가.
• 유형별 동향 서버해킹 51.4%로 최다, DDoS 23.0% 급증(DNS Query Flooding이 71% 차지).
• 상반기 대형사고 SKT 대규모 유심정보 유출, YES24 랜섬웨어, 가상자산 대형 탈취(Bybit), GA 공급망 침해, GS/알바몬/티머니 크리덴셜 스터핑.
• 업종별 분포 정보통신업 신고 390건(37.7%)으로 최다, 제조·유통업도 높은 비중 유지.
• 랜섬웨어 건수는 감소세이나 악성코드 내 71% 차지, 백업률 76.8%로 상승했지만 백업 감염 44.4% 지속.
• 신흥 위협 MCP·A2A 확산으로 AI 에이전트 상호운용이 새 공격면으로 부상(RCE, Tool Poisoning, 권한 위임 오용 등).

총 신고 건수

1,034건

+15% YoY (상반기)

월별('25): 1월88건, 2월129건, 3월138건, 4월171건, 5월233건, 6월275건

상반기 후반 급증: 신고 촉진제(24h 내 신고 의무 강화, 대형사고 후 인식 변화)와 DDoS/서버해킹 증가가 복합 작용

Top 트렌드

서버해킹 51.4% DDoS 23.0%↑ DNS QF 71% 정보통신업 37.7%

랜섬웨어 비중↑(악성內) 백업률 76.8% 백업감염 44.4% MCP/A2A 보안

DNS Query Flooding이 DDoS 내 지배적 위치 차지, 취약한 계정·서버를 노린 대량화 공격 경향 확산

📈 침해사고 신고 추이 분석

연·반기별 침해사고 신고 추이

2023년~2025년 상반기 기준

반기별 신고 건수

연도별 총합: '23년 1,277건 → '24년 1,887건(+48%) → '25년 상반기만으로 1,034건(반기 최대치)

2025년 상반기 월별 신고량

6월 고점 달성: DDoS·서버해킹 동시 증가와 대형사고 여파로 신고 활성화. 특히 4-6월 연속 증가세는 신고 의무 강화 정책과 보안 인식 제고가 맞물린 결과로 분석

🎯 침해사고 유형별 분포

2025년 상반기 유형별 구성비

서버해킹 51.4% DDoS 23.0% 악성코드 11.1% 기타 14.5%

주목할 변화: DDoS가 전년 동기 대비 +55.5% 급증했으며, 이중 DNS Query Flooding이 71%를 차지하여 공격 패턴의 획일화 현상 관찰

반기별 유형 추이 비교

구분	'23H1	'23H2	'24H1	'24H2	'25H1
서버해킹	320	263	504	553	531
DDoS	124	89	153	132	238
악성코드	156	144	106	123	115
기타	64	117	136	180	150

서버해킹은 지속적으로 최상위 위협 유형 유지. DDoS는 2025 상반기에 급증하여 과거 2년간의 패턴을 벗어나는 이례적 증가세를 보임

🏢 업종별 침해사고 분포

2025년 상반기 업종별 비중

정보통신업 390건(37.7%) 제조업 157건(15.2%) 도·소매업 132건(12.8%) 협회·개인서비스 59건(5.7%) 기타 296건(28.6%)

정보통신업의 압도적 비중: '23년 상반기 250건에서 '25년 상반기 390건으로 지속 우상향. 디지털 전환 가속화와 클라우드 의존도 증가가 주요 배경

업종별 반기 추이 분석

업종	'23H1	'23H2	'24H1	'24H2	'25H1
정보통신	250	192	302	299	390
제조	130	115	147	186	157
도·소매	95	89	126	134	132
협회·개인	39	34	47	74	59
기타	150	183	277	295	296

업종별 특징: 통신·클라우드 의존도가 높은 기업군에서 DDoS/서버해킹 리스크가 동시에 확대되는 경향. 제조업은 스마트팩토리·IoT 확산으로 공격 표면 증가

⚡ 2025년 상반기 주요 침해사고 타임라인

월별 주요 침해사고 분석

1월: GS리테일/GS샵
크리덴셜 스터핑 공격으로 9만명+158만명 고객정보 유출. 초기 사고 후 전사 점검을 통해 추가 피해 확인되어 공격 범위의 광범위성 드러남.

2월: Bybit 약 $1.5B 탈취 (사상 최대급)
지갑 보안 솔루션 개발자 PC 해킹 → JavaScript 변조를 통한 주소 바꿔치기 공격. 공급망 침해의 전형적 사례로 개발 환경 보안의 중요성 부각.

2월: 위믹스
모니터링 시스템(NILE) 인증키 탈취 → 비정상 거래 생성. 연계 컴포넌트 우회를 통한 정교한 공격으로, 모니터링 시스템 자체의 보안 취약점 노출.

3~4월: GA(법인보험대리점)
협력사 PC 악성코드 감염 → 접속계정 탈취 → 개인정보 유출. 공급망 보안 관리 체계 미흡으로 인한 2차 피해 확산 사례.

4월: SKT 대규모 유심정보 유출
계정관리·암호화·거버넌스 전반의 미흡함 확인. 신고 지연 등으로 행정조치 진행되어 대규모 통신사의 정보보호 체계 점검 필요성 제기.

4월: 알바몬·티머니
크리덴셜 스터핑 공격 재발. 기존 보안조치 우회되어 다중인증 및 행위기반 차단 시스템의 실효성 있는 구축 필요성 확인.

6월: YES24 랜섬웨어
전 서비스 5일간 중단, 약 100억원 손실 추정. 2천만 회원정보 유출 가능성으로 조사 진행. 오프사이트 백업 부재로 협상 복구 진행된 대표 사례.

종합 분석: 상반기 대형사고는 크리덴셜 스터핑, 공급망 침해, 랜섬웨어가 주요 패턴. 특히 개발환경·협력사·백업시스템 등 "신뢰 경계" 밖 영역이 집중 공격받는 추세 확인.

🔒 랜섬웨어 동향 & 백업 현황

랜섬웨어 발생 동향

• 신고 건수: 2025 상반기 82건 (전년 동기 대비 -11% 감소)
• 악성코드 내 비중: 랜섬웨어가 71%+ 차지로 집중도 심화
• 기업 규모별: 중견기업 23건(+21%), 중소기업 54건(-19%)
• 전체 비중: 중소·중견기업이 총 93% 차지

YES24 교훈: 오프사이트 백업 부재로 협상 복구 진행. "3-2-1 원칙 + 오프사이트 보관 + 연1회 복구훈련"이 실제 복구가능성을 좌우하는 핵심 요소로 재확인.

백업 현황: 양면성 분석

76.8%

백업률

'23H1 47% → '24H2 75.7% → '25H1 76.8%
지속적인 상승세로 백업 인식 개선

44.4%

백업까지 감염 비중

백업 격리·무결성 검증·오프사이트 보관 미흡 시 백업률 상승에도 실효성 저하

데이터 백업 8대 보안수칙
① 3-2-1 원칙 ② 오프사이트 보관 ③ 무결성 검증 ④ 자동화 구축
⑤ 최소권한 적용 ⑥ 정기 패치적용 ⑦ 복구훈련 실시 ⑧ 지속 모니터링

🌊 DDoS 급증 & 크리덴셜 스터핑 분석

DDoS 급증 포인트 분석

• 규모: 2025 상반기 238건 (+55.5% YoY, 상반기 기준 최고)
• 공격 유형: DNS Query Flooding이 전체의 71% 지배
• 주요 대상: 정보통신업계가 집중 타겟
• 공격 특징: 대용량보다 서비스 가용성 교란에 집중

DDoS 방어 권고사항
• Anycast DNS·DNS 캐시 보호 강화
• 쿼리 레이트 리밋 및 ACL 적용
• 권한 분리 및 멀티 벤더 DNS 구성
• Upstream 사업자와의 협업 플레이북 수립

크리덴셜 스터핑 vs 무차별 대입 비교

구분	크리덴셜 스터핑	ID/PW 무차별대입
공격 대상	다수 계정 동시	특정(소수) 계정
사용 데이터	타 사이트 유출 ID/PW 재사용	무작위/사전파일 기반
성공 조건	사용자의 비밀번호 재사용	ID 파악·PW 복잡도 낮음
주요 예방책	MFA, IP·행위기반 제한	로그인 횟수 제한 등

통합 방어전략: 다중인증(MFA) + Machine Risk Scoring + 비정상 접속 패턴 차단으로 실질적인 차단율 제고가 핵심. 단순 횟수 제한만으로는 한계

🤖 AI 에이전트 상호운용 보안 (MCP·A2A)

AI 에이전트 상호운용 프로토콜 리스크

• 위협 확산: 표준화 계층 확산으로 광범위한 공통 공격면 생성
• 주요 위협 유형:
  • Tool Poisoning (도구 변조·오염)
  • 권한 위임 오용 및 권한 에스컬레이션
  • 컨텍스트 주입 공격
  • 원격 코드 실행(RCE)
  • 컨텍스트 감사 부재로 인한 추적 불가

실제 사례
• Asana MCP 서버: 타 계정 노출 위험으로 운영 중단
• mcp-remote: RCE 취약점 (CVE-2025-6514)
• Cursor IDE: 악성 NPM 패키지 유입
• GitHub 연동: 인증 정보 유출 사고

핵심 해결방안
비인간 에이전트에 고유 신원(Non-human Identity) 부여 + 세분화된 권한 관리 및 감사로 책임추적이 가능한 설계 구조 필수

MCP/A2A 보안 체크리스트

인증 및 권한 관리

• MFA·mTLS·OAuth 강제 적용
• 최소권한 원칙 및 짧은 수명 토큰 사용
• 비인간 ID 발급 및 권한 위임 범위/만료 엄격화

무결성 검증

• 도구 설명 및 컨텍스트 서명·무결성 검증
• 신규 서버·도구 화이트리스트 등록 전 코드 리뷰
• 공급망 검증 (해시·서명·변경 모니터링)

데이터 보호 및 감사

• 전달 데이터 최소화·민감정보 마스킹
• 감사로그 표준화 (요청/응답/권한변경/컨텍스트 흐름)
• 이상징후 탐지 및 지속적 신뢰 검증(CTV)

⚖️ AI 기본법 시행에 따른 보안 함의

AI 기본법 ('25.1.21 제정, '26.1.22 시행) 주요 내용

• 적용 범위: 고영향 AI 및 생성형 AI 대상 안전·투명성·인간감독 의무화
• 지원 체계: 검증·인증 지원, AI 정책센터/안전연구소 설치로 거버넌스 기반 강화
• 국외 사업자: 대리인 지정 의무화
• 제재 조치: 시정/중지 명령 및 과태료 (최대 3,000만원)

보안 조직 적용 포인트
• 고영향 AI 판정 기준 사전 검토
• 위험관리 및 설명가능성 체계 구축
• AI 인증 트랙 조기 준비 및 대응체계 수립

GDPR式 리스크 기반 접근의 시사점

획일적 규범 준수에서 리스크 기반 보안으로의 패러다임 전환이 필요합니다. 사후 처벌 중심에서 "학습·회복 중심"으로 규제와 산업의 균형점을 모색해야 합니다.

정책 제언
업계 표준 대비 합리적 조치를 취한 경우 과징금 완화 → 신속한 복구·재발방지를 위한 공동 작업 유도. 이를 통해 보안 역량 투자에 대한 인센티브 구조 마련이 중요.

향후 AI 기본법 시행과 함께 보안 컴플라이언스 체계도 예방적·협력적 모델로 진화할 전망. 조직의 사전 준비와 리스크 관리 역량이 더욱 중요해질 것으로 예상.

🛣️ 조직 보안 강화 로드맵

규모·성숙도 기반 단계적 보안 도입 가이드

1단계: 기본 체력 (즉시 적용)

• 전 계정 강력 패스워드 정책 적용
• 네트워크 대역별 접근 제한
• 핵심 시스템 MFA 의무화
• 데이터 암호화 및 정기 백업 (오프사이트 포함)
• 기본 네트워크 분리 및 방화벽 설정

2단계: 기본 탐지 (~3개월)

• EDR(Endpoint Detection and Response) 또는 MDR 서비스 도입
• 취약점 스캔 도구 도입 및 정기 패치 주기 확립
• DDoS 대비 DNS 레이어 방어 강화
• 기본 로그 수집 및 모니터링 체계 구축

3단계: 지능형 탐지 (3~6개월)

• XDR/EDR + SIEM 통합 로그 분석 시스템
• 마이크로 세그먼테이션 확대 적용
• Threat Hunting 활동 정례화
• 인시던트 대응 플레이북 수립

4단계: AI-Driven (6~12개월)

• UEBA·행위기반 이상탐지 시스템 도입
• Zero Trust 아키텍처 본격 구현
• 자동화 플레이북 및 SOAR 도입
• 24/7 MDR 서비스 파트너십

✅ 실무진을 위한 보안 체크리스트

DDoS·DNS 방어 체크

• Anycast 기반 다중 DNS 사업자 구성
• 권한있는 DNS QPS 레이트 리밋 및 ACL 적용
• DNSSEC 도입 및 캐시 포이즈닝 방어
• 업스트림 사업자와 협력 (블랙홀/필터링) 시나리오 수립
• DNS 쿼리 패턴 모니터링 및 이상 탐지

크리덴셜 스터핑 방어

• MFA·패스키·리스크기반 인증 도입
• 로그인 시도 이상행위 차단 (행위·IP·디바이스 기반)
• 패스워드 재사용 탐지 및 강제 교체 정책
• 자동화 봇 탐지 (WAF/JavaScript 챌린지)
• 사용자 행위 기반 리스크 스코어링

랜섬웨어 회복탄력성

• 3-2-1 백업 원칙 + 오프사이트 보관 (오프라인/외부/클라우드 분리)
• 백업 전 무결성 검사 및 백업 데이터 격리
• 정기 복구 테스트: 월 1회 증분, 분기 1회 전체, 연 1회 복구훈련
• EDR/XDR 통한 초기 행위 차단 및 격리
• 백업 시스템 별도 인증 및 최소권한 적용

🎯 결론: "완벽 차단"에서 "빠른 탐지·즉시 대응"으로

2025년 상반기는 서버해킹과 DDoS의 급증, 대규모 개인정보 유출, 지속적인 랜섬웨어 위협, 그리고 MCP·A2A 등 신흥 상호운용 표준의 보안 과제를 분명히 드러낸 시기였습니다.

이제 목표는 더 이상 침입의 완벽한 차단이 아닙니다. 비즈니스 연속성을 유지하면서 위협을 신속히 탐지·격리·복구하는 회복탄력성(Resilience)이 핵심입니다.

골든타임 확보의 4대 축
① 제로트러스트 기반 접근제어 - 신뢰 경계 재설정
② EDR/XDR+UEBA의 실시간 가시성 - 지능형 위협 탐지
③ 오프사이트 백업과 정기 복구훈련 - 실전 대응 역량
④ 24/7 MDR 파트너십 - 전문가 협업 체계

동시에, 리스크 기반 규제와 산업 진흥의 균형을 통해 보안 투자를 적극 유도하고, 침해사고를 "처벌의 대상"보다는 "학습과 개선의 자산"으로 전환할 때 전반적인 사이버보안 수준이 한 단계 상승할 것입니다.

변화하는 위협 환경에 대한 지속적인 관심과 투자, 그리고 무엇보다 '완벽보다는 회복력'을 추구하는 마음가짐이 2025년 하반기와 그 이후를 준비하는 핵심입니다.