기업 비밀번호의 46%가 크랙 취약 - 2024년 대비 2배 증가...Picus Security 리포트

실제 운영 환경에서 1억6천만 건 이상의 공격 시뮬레이션 결과, 유효 자격 증명은 탈취는 쉽고 차단은 거의 불가능

샌프란시스코, Aug. 11, 2025 (GLOBE NEWSWIRE) -- 선도적인 보안 검증 기업 Picus Security가 실제 운영 환경에서 수행된 1억 6천만 건 이상의 실제 공격 시뮬레이션을 기반으로 한 2025년 블루 리포트™(Blue Report™ 2025)를 오늘 발표했다. 올해로 3년째를 맞은 이 보고서는 현재의 위협에 대해 보안 통제가 얼마나 효과적으로 작동하는지를 데이터 기반으로 평가하며, 올해의 결과는 지금까지 중 가장 우려스러운 수준이라고 밝혔다.

사이버 공격이 규모와 정교함 모두에서 증가하고 있는 반면, 방어 효과성은 오히려 감소하고 있는 상황이다. 올해의 데이터는 특히 심각한 상황을 보여준다. 전체 환경의 46%에서 최소 한 개 이상의 비밀번호 해시가 성공적으로 크랙되었으며, 데이터 유출 시도 차단율은 2024년 9%에서 올해 3%로 하락했다. 이러한 추세를 종합하면, 단 하나의 자격 증명(credential)이 탈취되는 순간 공격자가 네트워크 내에서 횡적 이동(lateral movement)과 대규모 데이터 절도를 빠르게 실행할 수 있음을 의미한다. 특히 인포스틸러(정보 탈취) 악성코드의 유포 빈도가 3배 증가하고, 합법적인 로그인 정보를 이용해 방어를 우회하는 공격이 늘어나면서, 조직은 지속적이고 거의 탐지되지 않는 위협으로부터 점점 더 높은 위험에 직면하고 있다.

Picus Security의 공동 창립자이자 Picus Labs 부사장을 맡고 있는 Süleyman Ozarslan 박사는 “우리는 공격자가 이미 내부 접근 권한을 가지고 있다는 가정하에 운영해야 한다.”는 의견을 제시하였다. 이어 “이른바 ‘침해 가정(assume breach)’ 마인드셋은 조직이 유효한 자격 증명의 오·남용을 더 빠르게 탐지하고, 위협을 신속히 차단하며, 횡적 이동을 제한하도록 이끌게 된다. 이를 위해서는 신원 인증 통제의 지속적인 검증과 더 강력한 행위 기반 탐지가 필수적이다.”라고 밝혔다.

주요 조사 결과:

• 절반 가까운 환경에서 비밀번호 크랙 발생: 테스트된 환경의 46%에서 최소 1개의 비밀번호 해시가 크랙되었으며, 이는 2024년의 25%에서 크게 증가한 수치로, 취약하거나 오래된 비밀번호 정책에 대한 지속적인 의존을 보여준다.
• 탈취된 자격 증명은 사실상 막기 어려움: 유효한 자격 증명을 이용한 공격의 성공률이 98%에 달해, 유효 계정(Valid Accounts, MITRE ATT&CK T1078) 기법이 방어를 눈에 띄지 않게 우회할 수 있는 가장 신뢰성 높은 방법 중 하나로 꼽힌다.
• 데이터 유출 차단율은 사실상 ‘제로’에 가까움: 데이터 절도 시도 차단율은 3%에 불과했으며, 이는 2024년 대비 3분의 1 수준으로 감소한 수치다. 랜섬웨어 공격자와 정보 탈취 악성코드(인포스틸러)는 이중 갈취(double-extortion) 공격을 더욱 강화하고 있다.
• 랜섬웨어는 여전히 최우선 위협: BlackByte가 가장 방어하기 어려운 랜섬웨어로, 차단 효과는 26%에 불과했다. 이어 BabLock이 34%, Maori가 41%로 나타났다.
• 조기 탐지에서 심각한 블라인드 스팟 존재: 시스템 네트워크 구성 탐지(System Network Configuration Discovery) 및 프로세스 탐지와 같은 기법의 방어 효과는 12% 미만에 그쳐, 탐지 역량의 상당한 격차를 드러냈다.
  
  

2025년 블루 리포트에 따르면, 위협 차단 효과성(prevention effectiveness)은 2024년 69%에서 2025년 62%로 하락해, 지난해의 개선세가 역전된 것으로 나타났다. 로그 수집 범위(logging coverage)는 54%로 유지됐지만, 공격의 14%만이 경고(alert)를 생성해, 대부분의 악성 활동이 여전히 탐지되지 않고 있다는 의미다. 탐지 규칙 설정의 오류, 로그 수집의 누락, 그리고 시스템 통합의 미비가 보안 운영 전반의 가시성 확보를 지속적으로 저해하고 있다. 이러한 하락세는 보안 통제에 대한 지속적인 모니터링과 검증이 없을 경우 방어 능력이 얼마나 빠르게 약화될 수 있는지를 여실히 보여준다.

조사 방법론
블루 리포트(Blue Report)는 실제 환경에서 보안 통제가 얼마나 효과적으로 작동하는지에 대한 실증적 근거를 제공한다. 이번 결과는 2025년 1월부터 6월까지 Picus Security 고객이 수행한 수백만 건의 시뮬레이션 공격을 기반으로 도출됐다. 시뮬레이션은 Picus의 보안 검증 플랫폼(Security Validation Platform)을 활용해 실제 운영 환경(live production environment)에서 안전하게 실행되었으며, Picus Labs와 Picus 데이터 과학팀이 이를 분석했다. 보고서에는 또한 에코시스템별·산업별 분석 결과와 권고 사항이 포함되어 있으며, 이는 기업이 위협 노출을 줄이고 보안 대응 준비태세를 강화하는 데 도움을 줄 수 있다.

전체 결과와 권고 사항은 2025년 블루 리포트 전문 (Blue Report 2025)을 다운로드하여 확인할 수 있다.

Picus Security 소개
Picus Security는 선도적인 보안 검증(Security Validation) 기업으로, 조직이 비즈니스 맥락에 기반해 자사의 사이버 위험 수준을 명확하게 파악할 수 있도록 지원한다. Picus는 분리된(siloed) 보안 진단 결과를 상호 연계·우선순위화·검증하여, 보안팀이 가장 중요한 취약 지점과 고효과 개선 과제에 집중할 수 있도록 함으로써 보안 관행을 혁신한다. Picus를 통해 보안팀은 원클릭 완화 조치로 신속하게 대응하여 더 적은 노력으로 더 많은 위협을 차단할 수 있다. 또한, 침해 및 공격 시뮬레이션(Breach and Attack Simulation)과 자동화 침투 테스트(Automated Penetration Testing)를 결합한 적대적 노출 검증(Adversarial Exposure Validation)을 제공해, 더욱 뛰어난 보안 성과를 달성하도록 돕는다. Picus는 추적할 가치가 있는 정확한 개선 포인트를 식별할 수 있는 위협 중심(Threat-Centric) 기술을 제공하며, 이는 업계에서 수상 경력으로도 인정받았다.

Picus Security의 X 계정과 LinkedIn계정을 팔로우하면 최신 소식을 확인할 수 있다.

언론 연락처 정보
Jennifer Tanner
Look Left Marketing
picus@lookleftmarketing.com

본 보도자료와 관련된 사진자료는 하단 링크를 통해 이용 가능합니다

https://www.globenewswire.com/NewsRoom/AttachmentNg/3399fa33-7e80-494c-8d70-150c14da6698
https://www.globenewswire.com/NewsRoom/AttachmentNg/387b8fcd-aac8-4593-be9d-79985703484a
https://www.globenewswire.com/NewsRoom/AttachmentNg/a94c5fa9-32ce-499c-b863-3a0e8497a6ea

Legal Disclaimer:

EIN Presswire provides this news content "as is" without warranty of any kind. We do not accept any responsibility or liability for the accuracy, content, images, videos, licenses, completeness, legality, or reliability of the information contained in this article. If you have any complaints or copyright issues related to this article, kindly contact the author above.