비밀번호가 뚫리고 있습니다 — 그런데 악성코드가 아닙니다
2026년 현재, 전체 사이버 침해 사고의 75%가 탈취된 자격증명(아이디와 비밀번호)을 이용한 공격입니다. IBM X-Force의 분석에 따르면, 자격증명 남용(credential abuse)은 전체 침해의 **22%**를 차지하며 1위 공격 벡터로 올라섰습니다.
과거에는 해커가 악성코드를 심어 시스템을 장악했습니다. 지금은 다릅니다. 공격자는 이미 유출된 아이디와 비밀번호로 정상적인 로그인을 합니다. 문을 부수는 대신 열쇠를 복제해서 들어오는 것입니다.
어떻게 내 비밀번호가 유출되는가
인포스틸러 — 조용히 훔치는 악성코드
**인포스틸러(Infostealer)**는 PC나 스마트폰에 설치되어 저장된 비밀번호, 쿠키, 인증 토큰을 자동으로 수집하는 악성코드입니다. 무료 소프트웨어 설치 파일, 피싱 메일 첨부파일 등에 숨어 있습니다. 사용자가 눈치채기 어려울 만큼 가볍게 동작합니다.
다크웹 크레덴셜 마켓
수집된 자격증명은 다크웹의 크레덴셜 마켓에서 거래됩니다. 기업 VPN 계정, 클라우드 서비스 로그인 정보가 건당 수 달러에 판매됩니다. Verizon DBIR 2026 보고서에 따르면, 다크웹에서 유통되는 유효한 자격증명의 규모는 전년 대비 급증했습니다.
AI가 공격을 가속합니다
Moody's는 2026년 위협 전망 보고서에서 AI가 공격자의 능력을 증폭시키고 있다고 경고했습니다. AI 도구는 유출된 데이터에서 유효한 계정 조합을 빠르게 식별하고, 취약점 공개(disclosure)부터 실제 악용까지의 시간을 며칠에서 수 시간으로 단축시킵니다.
왜 탐지가 어려운가
자격증명 기반 공격의 가장 큰 위험은 정상 로그인과 구분이 불가능하다는 점입니다.
악성코드는 행위 패턴으로 탐지할 수 있습니다. 그러나 유효한 아이디와 비밀번호로 VPN에 접속하고, 이메일을 열람하고, 파일을 다운로드하는 행위는 정상 업무와 동일합니다. 보안 시스템이 경보를 울리지 않습니다.
IBM X-Force는 이를 **"신원이 곧 공격 표면(identity is the attack surface)"**이라고 표현했습니다. 공격자가 내부 직원과 같은 권한으로 움직이기 때문에, 침해 사실을 인지하기까지 평균 수개월이 걸리기도 합니다.
서드파티 침해도 급증
직접 공격뿐 아니라, 서드파티(협력업체) 경유 침해도 늘고 있습니다. 2026년에는 전체 침해의 **30%**가 서드파티를 통한 간접 침해가 될 것으로 예측됩니다. 이는 2025년 대비 약 두 배 증가한 수치입니다.
내 회사의 보안이 아무리 철저해도, 협력업체 한 곳의 자격증명이 유출되면 우리 시스템까지 위험해질 수 있습니다.
지금 할 수 있는 대응법
- MFA(다중 인증) 활성화 — 모든 주요 계정에 SMS가 아닌 인증 앱(Google Authenticator, Microsoft Authenticator) 기반 MFA를 설정하세요
- 패스키(Passkey) 전환 — Google, Apple, Microsoft 계정은 이미 패스키를 지원합니다. 비밀번호 자체를 없애는 것이 가장 안전합니다
- 비밀번호 관리자 사용 — 사이트마다 고유한 긴 비밀번호를 생성하고 관리자에 저장하세요. 같은 비밀번호를 여러 사이트에 쓰는 것이 가장 위험합니다
- 비밀번호 유출 여부 확인 — Have I Been Pwned에서 내 이메일이 유출 목록에 있는지 무료로 확인할 수 있습니다
- 의심스러운 로그인 알림 설정 — 주요 서비스의 "새 기기 로그인 알림"을 반드시 켜두세요
| 항목 | 내용 | |------|------| | 자격증명 침해 비율 | 전체 사이버 침해의 75% | | 1위 공격 벡터 | 자격증명 남용 (22%) | | 취약점 악용 속도 | 공개 후 수 시간 내 | | 서드파티 침해 전망 | 전체의 30% (전년 대비 2배) | | 핵심 대응 | MFA, 패스키, 비밀번호 관리자 |
비밀번호 하나가 모든 것을 열어줄 수 있습니다. MFA 설정과 패스키 전환은 지금 바로 시작할 수 있는 가장 효과적인 방어입니다.
참고