서울 Google Threat Intelligence Group(GTIG)이 2025년 발생한 90건의 제로데이(Zero-day) 공격을 분석한 연례 보고서를 발표했다.

구글 클라우드 로고

이번 보고서는 제로데이 공격 환경에서 나타난 구조적·기술적 변화를 조명한다.

가장 주목할 만한 변화는 공격자들의 핵심 타깃이 개인 사용자에서 엔터프라이즈로 본격 전환되면서 공격자들이 기업의 네트워크 장비나 서버 취약점을 직접 공략하는 사례가 급증했다는 점이다.

공격 주체에도 큰 변화가 포착됐다. 과거에는 주로 특정 국가의 지원을 받는 해커 조직들이 제로데이 공격을 주도했으나 이번 보고서에서 처음으로 상업용 감시 소프트웨어 제작 업체(CSV)에 의한 제로데이 공격 사례가 국가 지원 해커 그룹의 공격 사례를 넘어섰다. 이는 민간 업체를 통해 해킹 기술의 상품화가 가속화되면서 이제 누구나 강력한 공격 수단을 손에 넣을 수 있는 위험한 국면에 접어들었음을 시사한다.

본 보고서는 다음의 내용을 다루고 있다.

· 엔터프라이즈 인프라를 겨냥한 제로데이 공격의 상세 정보와 기업의 경계 솔루션이 주요 표적이 되는 이유
· 제로데이 공격 주체의 변화 양상과 핵심 공격자들에 대한 논의
· AI 기술이 사이버 공격과 방어 경쟁에 미칠 영향과 전망
· 정보(IP) 탈취에서 시작되는 새로운 제로데이 공격 패러다임

◇ 주요 조사 결과

기업의 보안 사각지대 조준하는 제로데이 공격

2025년에 발생한 제로데이 취약점 공격 사례(90개)는 역대 최고 수치를 기록했던 2023년(100개)보다는 낮지만, 2024년(78개)보다 높아졌다. 이 가운데 약 절반(48%)이 엔터프라이즈 기술을 겨냥했다. 공격자들은 엔드포인트 탐지 및 대응(EDR) 기술이 부족한 보안 및 네트워킹 도구, 그중에서도 에지 디바이스를 집중적으로 공략했다. 엔터프라이즈 공격의 증가 추세는 2024년부터 시작됐으며, 2025년에 취약점의 개수와 비율 모두 역대 최고치를 기록했다.

국가 지원 해커 앞지른 CSV-스파이웨어 활동

GTIG가 추적을 시작한 이래 처음으로 상업용 감시 소프트웨어 제작 업체(CSV)에 의한 제로데이 공격이 기존 국가 지원 사이버 스파이 그룹보다 더 많이 발생했음을 확인했다. 이는 제로데이 공격 수단에 대한 접근 권한이 더 넓은 대상으로 확대되고 있음을 시사한다.

한편 기존 추세와 마찬가지로 중국 연계 사이버 스파이 그룹은 2025년에도 가장 왕성한 활동을 보인 국가 지원 공격자로 파악됐으며, 장기적인 네트워크 거점 확보를 위해 에지 디바이스에 집중했다. 반면 북한 연계 위협 그룹의 경우 2024년 5건의 제로데이 공격 사례를 확인했으나 2025년에는 북한 그룹에 의한 제로데이 공격이 감지되지 않았다.

AI가 앞당긴 보안 전쟁

GTIG는 AI가 2026년 공격자와 방어자 간 경쟁을 더욱 가속화할 것으로 전망한다. AI는 정찰, 취약점 발견, 공격 코드 개발 속도를 높일 것이며, 이는 방어자들이 제로데이 공격을 탐지하고 대응하는 데 더 큰 압박으로 작용할 것이다. 방어자들은 이에 맞서 AI 에이전트를 활용해 보안 결함을 선제적으로 찾고 패치 작업을 강화하면서 취약점이 악용되기 전 이를 무력화하는 데 집중할 것으로 예상된다.

제로데이 공격의 새로운 패러다임

일부 스파이 그룹이 기업의 소스 코드 및 독자적인 개발 문서와 같은 지식 재산(IP)을 탈취하는 행위가 단순한 정보 유출을 넘어 피해 기업의 소프트웨어 및 고객을 겨냥한 새로운 제로데이 무기 개발로 이어지면서 장기적인 위협으로 부상하고 있다. 공격자들이 탈취한 소스 코드를 분석해 해당 소프트웨어의 또 다른 제로데이 취약점을 찾아내고, 이를 다시 공격에 활용하는 악순환 구조를 만들고 있다는 분석이다. 중국 연계 스파이 그룹의 소행으로 파악되는 2025년 브릭스톰(BRICKSTORM) 악성코드 캠페인은 바로 이와 같은 제로데이 공격의 새로운 패러다임을 보여준다.

웹사이트: https://cloud.google.com/?hl=ko