내년에도 북한, 중국 등 국가 배후의 해커들의 사이버 공격이 거세질 것이란 전망이 나왔다. 이들과 금전적인 수익을 노리는 다양한 위협 그룹은 인공지능(AI)을 적극 활용해 기업과 기관을 대상으로 랜섬웨어 공격과 데이터 탈취를 이어갈 것으로 예상된다.
구글 클라우드 위협 인텔리전스 그룹(GTIG)은 5일 발간한 '2026년 사이버 보안 전망 보고서(2026 Cybersecurity Forecast Report)'에서 이같이 밝혔다. 보고서는 "AI를 활용하는 공격이 2026년에는 새로운 표준(norm)으로 자리잡을 것"이라며 "특히 사람의 심리를 악용해 정보 유출이나 계정 탈취를 시도하는 소셜 엔지니어링, 정보 작전, 멀웨어(악성코드) 개발 등의 공격을 가속화하며 사이버 위협 동향을 변화시킬 것으로 전망한다"고 했다.
내년부터는 단순 텍스트 기반의 피싱(phishing·개인 정보 이용 사기) 공격을 넘어 음성, 텍스트, 영상 딥페이크 등 멀티모달 생성형 AI를 적극 활용해 경영진, 직원, 협력사를 사칭한 맞춤형 공격이 늘어날 것이라고 봤다. 보고서는 이런 AI 기반 공격은 보이스 피싱(전화금융사기) 공격의 성공률을 높이고 대규모 비즈니스 이메일 침해(BEC) 공격을 가능하게 할 것이라고 전망했다.
내년에도 랜섬웨어와 데이터 갈취가 가장 큰 경제적 피해를 야기하는 사이버 범죄 유형이 될 것으로 예측했다. 보고서는 "이런 공격은 제3자 공급업체와 제로데이 취약점을 악용해 대량의 연쇄 공격을 수행하는 주요 공격 그룹의 주도 하에 이뤄질 것으로 보인다"고 했다.
또 조직의 승인을 받지 않은 AI 도구(일명 섀도우 에이전트)의 위험이 치명적인 수준으로 커질 것이라고 예상했다. 직원이 조직의 승인 없이 자율형 AI 에이전트나 AI 도구를 배포할 경우, 보이지 않고 통제가 불가능한 파이프라인이 생성되어 민감 데이터 유출과 규정 준수 위험으로 이어질 수 있다는 것이다. 가상화 기반 인프라(하이퍼바이저)를 대상으로 한 공격이 늘면서 내부·인프라 보안 위협도 심화될 것이라고 보고서는 내다봤다.
국가 배후 위협 세력으로는 북한이 수익 창출을 위해 암호화폐 조직을 표적으로 삼은 공격을 확대하고, 가짜 채용 평가를 통해 표적을 유인하거나 딥페이크 동영상을 이용해 높은 가치를 제공할 수 있는 인력을 속이는 등 고도화된 소셜 엔지니어링 기법을 사용할 것이라고 전망했다.
중국 배후 위협 그룹은 내년에도 대규모 사이버 작전을 지속할 것으로 예상된다. 보고서는 "중국의 위협 행위자는 공격적으로 엣지 디바이스를 표적으로 삼고, 제로데이 취약점을 악용하며, 제3자 공급업체를 겨냥할 것"이라고 했다.
이밖에 이란은 지정학적 긴장 속 와이퍼(데이터와 시스템을 파괴하는 것을 주 목적으로 하는 악성코드) 기반 작전을 강화하고 러시아는 고도화된 첩보 활동을 이어갈 것으로 보인다.
아시아태평양 지역에서는 외교 행사와 정상회의를 노린 정치적 스파이 활동이 증가하고, 중국 연계 조직이 주도하는 차량 탑재형 가짜 기지국(FBS) 사기가 지속될 전망이다.
한국·일본은 대형 보안 사고 대응 차원에서 공급망 보안 의무 강화와 평가·등급 시스템 도입 등 규제적 대응을 확대할 것으로 예상된다. 보고서는 "한국은 대규모 침해 사고 이후 통신 등 핵심 분야의 사이버 방어 태세를 전면 개편하고 있으며, 이런 조치는 광범위한 기술 공급망 전반에 걸친 정부의 감독 강화 및 강력한 보안 시스템 구축을 위한 투자 의무로 이어질 것"이라고 했다.