침투부터 내부 확산까지 걸리는 시간. 보안 업계에서는 이걸 "breakout time"이라 부릅니다. CrowdStrike의 2026 글로벌 위협 보고서에 따르면, 이 시간이 평균 29분으로 줄었습니다. 2024년 대비 65% 빨라진 수치입니다. 가장 빠른 케이스는 27초였습니다.
핵심 수치
| 지표 | 수치 | 변화 | |------|------|------| | 평균 breakout 시간 | 29분 | 전년 대비 65% 단축 | | 최단 breakout 시간 | 27초 | 역대 최단 기록 | | 최단 데이터 유출 시작 | 4분 | 초기 접근 후 | | AI 활용 공격 증가 | 89% | 전년 대비 |
29분이면 보안팀이 알림을 확인하고 대응 절차를 시작하기도 전에 공격자가 이미 내부 네트워크를 장악한다는 뜻입니다.
AI가 공격을 가속하는 방법
보고서가 강조한 건 AI가 공격의 모든 단계를 빠르게 만들고 있다는 점입니다.
정찰 단계 — 러시아 연계 APT 조직 FANCY BEAR는 LLM 기반 악성코드 LAMEHUG를 배포해 정찰과 문서 수집을 자동화했습니다.
실행 단계 — eCrime 조직 PUNK SPIDER는 AI 생성 스크립트로 크레덴셜 덤핑을 가속하고 포렌식 증거를 삭제했습니다.
위장 단계 — 북한 연계 FAMOUS CHOLLIMA는 AI가 만든 가짜 페르소나로 기업 내부자 공작을 대규모로 운영했습니다.
공격자들은 90개 이상 조직의 GenAI 도구에 악성 프롬프트를 주입하고, AI 개발 플랫폼 자체를 악용하고 있습니다.
자격 증명 탈취 — breakout time을 0으로 만드는 방법
공격자들이 시스템을 뚫는 대신 정상적으로 로그인하는 방식으로 전환하고 있습니다. CrowdStrike 데이터에 따르면, 자격 증명 기반 초기 접근이 전체 침투의 35% 이상을 차지합니다.
이 방식의 핵심은 breakout time 자체가 의미 없어진다는 점입니다. 정상 계정으로 들어오면 "침투"와 "내부 이동"의 경계가 사라집니다. 유출된 자격 증명, 소셜 엔지니어링, AI 딥페이크를 조합해 정상 사용자인 척 접근하며, 방화벽이나 IDS는 이런 공격을 잡기 어렵습니다.
조직이 할 수 있는 것
- breakout time보다 빠른 탐지·대응 체계 구축 — 29분 안에 격리까지 완료해야 합니다
- 자격 증명 기반 공격 대비 — MFA 필수, 비밀번호만으로 접근 가능한 시스템 점검
- AI 도구 접근 통제 — 내부 GenAI 도구에 프롬프트 인젝션 방어 적용
- 자동화된 위협 대응 — 사람이 판단하기 전에 1차 격리가 자동으로 이뤄져야 합니다
참고