서울--(뉴스와이어)--Google Threat Intelligence Group(GTIG)이 ‘2026년 사이버 보안 전망 보고서’(2026 Cybersecurity Forecast Report)를 발표했다.

‘2026년 사이버 보안 전망 보고서’는 2025년 사이버 위협 동향을 바탕으로 다가오는 2026년에 보안팀이 직면할 것으로 예상되는 위협 트렌드 및 과제에 대한 데이터 기반의 전망을 제공한다. 해당 보고서는 구글 클라우드의 다양한 보안 전문가들의 심층적인 분석 및 인사이트를 바탕으로 구성됐으며, △인공지능(AI) △사이버 범죄(Cybercrime) △국가 주도 공격(Nation-State activity)이라는 세 가지 핵심 영역을 집중적으로 다루고 있다.

본 보고서에 명시된 2026년 주요 글로벌 위협 동향은 다음과 같다.

1. AI를 적극 활용하는 공격자: 지금까지는 AI를 활용하는 공격자가 일부 예외에 불과했으나 2026년에는 새로운 표준(norm)으로 자리 잡을 것으로 전망된다. 특히 소셜 엔지니어링, 정보 작전, 멀웨어 개발 등의 공격을 가속화하며 사이버 위협 동향을 현저히 변화시킬 것으로 전망된다. 2026년에는 공격자가 단순한 텍스트 기반의 피싱 공격을 넘어 음성, 텍스트 및 영상 딥페이크 등 멀티모달 생성형 AI를 적극 활용해 경영진, 직원 혹은 파트너사를 사칭해 상황에 맞춰 설득력 있는 공격을 자행할 것이다. 이는 보이스 피싱 공격의 성공률을 높이고 초현실적인 대규모 비즈니스 이메일 침해(BEC) 공격을 가능케 할 수 있다.

2. 글로벌 혼란을 야기하는 사이버 범죄: 2026년에도 랜섬웨어와 데이터 탈취 및 갈취는 전 세계적으로 가장 큰 경제적 피해를 야기하는 사이버 범죄 유형일 것으로 전망된다. 이러한 공격은 제3자 공급 업체와 제로데이 취약점을 악용해 대량의 연쇄 공격을 수행하는 주요 공격 그룹의 주도하에 이뤄질 것으로 예상된다.

3. 고조되는 섀도우 에이전트(Shadow Agent) 위험: 조직의 승인을 받지 않은 AI 도구(일명 섀도우 에이전트)는 치명적인 문제로 확대될 것으로 전망된다. 직원이 조직의 승인 없이 자율형 AI 에이전트나 AI 도구를 배포하는 경우, 민감 데이터에 대한 보이지 않고 통제가 불가능한 파이프라인이 생성돼 민감 데이터 유출 및 규정 준수 위험으로 이어질 수 있다.

4. 가상화 인프라 위협 증가: 조직이 게스트(in-guest) 시스템에 대한 보안을 강화함에 따라, 더 많은 공격자가 가상화 기반 인프라(하이퍼바이저)에 대한 표적 공격을 기본 공격 수단으로 삼을 것이다. 이는 한 번의 침해만으로도 공격자가 전체 디지털 자산에 대한 통제권을 장악할 수 있어, 대량 암호화 및 시스템 중단으로 이어질 수 있는 치명적인 보안 사각지대다.

국가 지원 위협 그룹 동향:

a. 러시아: 러시아의 사이버 공격 작전은 우크라이나 전쟁을 위한 단기적 전술 지원을 넘어 장기적 글로벌 전략 목표를 추구하며 전략적인 변화를 겪을 것으로 예상된다. 이는 고도화된 사이버 역량 개발, 글로벌 정치 사회적 이익을 위한 인텔리전스 수집, 국제적 핵심 인프라 내 전략적 거점 확보 등을 포함한다.

b. 북한: 북한의 사이버 위협 조직은 수익 창출을 위해 암호화폐 조직 및 사용자를 표적으로 하는 고효율·고수익 작전을 확대할 것이다. 가짜 채용 평가를 통해 표적을 유인하거나 딥페이크 동영상을 이용해 높은 가치를 제공할 수 있는 인력을 속이는 등 고도화된 소셜 엔지니어링 기법에 의존해 기술 혁신을 가속화할 것으로 전망된다. 또한 북한의 IT 인력은 수입원을 유지하기 위해 특히 유럽을 중심으로 전 세계적인 활동 범위를 넓힐 것으로 예상된다.

c. 중국: 2026년에도 중국 연계 사이버 작전의 규모는 다른 국가들의 수준을 계속 넘어설 것으로 예상되며, 은밀한 작전 수행과 작전 규모 극대화에 주력할 것으로 보인다. 중국의 위협 행위자는 공격적으로 엣지 디바이스를 표적으로 삼고, 제로데이 취약점을 악용하며, 제3자 공급 업체를 겨냥할 것이다.

d. 이란: 이란을 둘러싼 지정학적 분쟁이 지속되는 가운데, 2026년 이란의 사이버 활동은 정권 안정과 지역 내 영향력 유지라는 목표를 달성하기 위해 계속될 것으로 예상된다. 이란과 이스라엘, 미국 간 고조되는 지역적 긴장은 사이버 스파이 활동, 교란 공격, 정보 작전의 증가를 유도할 것이다. 이는 2023년 10월 이후 지속 관찰된 공격적 전술을 바탕으로 와이퍼(wiper)* 배포 위험이 지속적으로 높아진다는 것을 의미한다.

* 와이퍼(wiper): 데이터와 시스템을 파괴하는 것을 주목적으로 하는 악성코드

한편 2026년 일본 및 아시아태평양 지역에서 예상되는 사이버 보안 전망은 다음과 같다.

1. 외교관을 표적으로 하는 정치적 스파이 활동 증가 예상, 컨퍼런스 주의 필요: 2026년 일본 및 아태 지역 전역에서 개최되는 주요 정치 및 안보 정상회의가 증가하는 사이버 첩보 활동의 표적이 될 것으로 예상된다. 내년 필리핀에서 개최되는 아세안정상회의(ASEAN Summit), 중국에서 열리는 APEC 경제지도자회의(APEC Economic Leaders’ Meeting), 팔라우에서 열리는 태평양제도포럼(Pacific Islands Forum) 등의 행사들은 협상 우위를 점하고, 후원 국가의 정치적 입지 및 의사 결정에 필요한 정보를 제공할 정치, 산업, 군사 관련 인텔리전스 수집 작전을 촉진할 것이다. 이러한 첩보 활동은 올해 동남아시아 외교관을 대상으로 한 공격과 지난 2024년 대만-미국 방위산업 회의를 활용한 공격에 이어 행사와 연관된 개인을 표적으로 삼았던 작전을 기반으로 더욱 고도화될 것이다.

2. 차량 탑재형 가짜 기지국 사기 지속: 2026년에도 셀룰러 방송 메시지의 본질적인 보안 취약점을 악용하는 차량 탑재형 가짜 기지국(FBS)에 의한 위협이 지속될 것으로 전망된다. 이러한 이동식 기지국은 합법적인 셀룰러 네트워크를 사칭해 주변 기기를 연결하도록 유인한다. 일단 연결이 되면 FBS는 할인 등의 콘텐츠로 위장한 피싱 SMS 메시지를 전송해 사용자를 위협 행위자가 통제하는 사이트로 유도한다. 이러한 범죄는 주로 중국 연계 사이버 범죄자들에 의해 발생하며, 이들은 텔레그램과 같은 소셜 메시징 애플리케이션을 통해 하위 레벨의 운반책을 고용해 공격을 감행한다. 이러한 위협 추세는 쉽게 돈을 벌 수 있다는 경제적 유혹과 범인 검거가 어렵다는 점에 의해 지속될 것으로 예상된다. 2025년 1분기 태국과 인도네시아 등지에서 사법 기관의 성공적인 작전에 의해 체포가 이루어졌음에도 불구하고, 해당 범죄는 3분기에 빠르게 다시 등장했다. 이러한 양상은 FBS 전술의 수익성과 회복력을 보여주며, 내년에도 같은 위협이 전 세계적으로 지속될 것이라는 점을 시사한다.

3. 공급망 사이버 보안 의무화: 한국 및 일본이 주요 보안 사고 이후 방어체계를 강화함에 따라, 2026년에는 양국에서 운영되거나 양국과 관련된 기업들은 상당한 수준의 새로운 선제적 공급망 사이버 보안 의무를 이행해야 할 것으로 전망된다. 한국은 대규모 침해 사고 이후 통신 등 핵심 분야의 사이버 방어 태세를 전면 개편하고 있다. 이러한 조치는 광범위한 기술 공급망 전반에 걸친 정부의 감독 강화 및 강력한 보안 시스템 구축을 위한 투자 의무로 이어질 것으로 전망된다. 일본의 경우, 2026 회계연도까지 사이버 보안 대책 평가 시스템(Cybersecurity Measures Evaluation System)을 도입할 예정으로, 이는 특히 반도체 제조 등 제조 분야 기업들이 국제표준 ISO/IEC 15408에 기반한 보안 효율성 기준을 충족하도록 공급망의 보안 상태를 시각화하고 검증하도록 요구할 것이다. 또한 일본 정부는 새로운 사이버 보안 등급 시스템을 활용해 기업의 전반적인 보안 태세를 평가할 예정이다.