[사이버 보안] 올 상반기 사이버 보안 스타트업에 8조 원 '뭉칫돈'... 신종 악성코드 이블AI(EvilAI) 주의보
글로벌 빅테크와 투자사들이 사이버 보안 스타트업에 적극적으로 투자하고 있다. 사이버 보안 산업이 기업 경쟁력과 국가 안보를 동시에 견인할 '핵심 전략 산업'으로 부상하고 있어서다. 올해 상반기에만 전 세계 사이버 보안 스타트업에 8조 원이 넘는 자금이 몰린 것으로 나타났다.
상반기 사이버 보안 스타트업 투자 유치액 14% 증가… 구글, '위즈' 인수에 320억 달러 메가딜
핀포인트서치그룹에 따르면 2025년 1~2분기 사이버 보안 공급업체에 185건의 자금 조달 라운드가 진행되면서 총 64억 달러의 자금이 조달된 것으로 집계됐다. 이는 지난해 동기 대비 14% 증가한 수치다.
특히 2분기 기준 사이버 보안 스타트업의 자금 조달 규모는 2023년 19억 달러, 2024년 23억 달러를 기록했으며, 2025년에는 42억 달러까지 가파르게 증가하여 뚜렷한 증가세를 보였다. 이러한 성장세는 올해 1억 달러 이상의 대규모 자금 조달이 8차례나 성공적으로 이루어진 것이 주효하게 작용했다.
대표적으로 AI 기반 데이터 보안 스타트업 '사이에라'(Cyera)는 지난 6월 시리즈 E 라운드를 통해 5억 4,000만 달러를 유치했다. 이로써 누적 투자금 13억 달러를 돌파했다. 2021년 설립된 시이에라는 기업 데이터 전반에 걸친 보안 위험을 실시간으로 파악하고 대응하는 통합 보안 솔루션을 제공하는 업체다.
오픈AI도 올해 3월 AI 기반 사이버 보안 스타트업에 처음으로 투자해 이목을 끌었다. 오픈 AI는 챗GPT 등 생성형 AI 확산으로 커지는 사이버 위협에 대응하기 위해 '어댑티브 시큐리티'의 시리즈 A 라운드에 공동 투자자로 참여했다. 실리콘밸리 대표 벤처캐피탈(VC)인 안드리센 호로위츠도 참여한 것으로 전해졌으며, 투자 규모는 약 4,300만 달러다. '어댑티브 시큐리티'는 AI를 활용한 사회공학적 해킹 시뮬레이션 플랫폼을 제공하며, 조직 내 보안 취약점을 실전처럼 훈련하고 평가하는 서비스가 주력이다.
글로벌 빅테크의 사이버 보안 업체 M&A 또한 활발한 가운데, 올해 가장 큰 이슈는 단연 구글의 사이버 보안 스타트업 '위즈'(Wiz) 인수다. 구글 모회사 알바벳은 지난 3월 위즈를 320억 달러에 인수한다고 밝혔다. 인수 규모는 320억 달러로, 구글 역사상 최대 규모다. 구글은 투자 배경에 대해 "AI의 역할 증가와 클라우드 서비스 도입으로 고객의 보안 환경이 극적으로 변화했으며, 사이버 보안이 새로운 위험으로부터 방어하고 국가 안보를 보호하는 데 더욱 중요해졌다"라고 설명했다. '위즈'는 모든 주요 클라우드 및 코드 환경에 연결되는 통합 클라우드 보안 플랫폼을 제공하는 업체로, AWS, 마이크로소프트, 구글 등 주요 빅테크 기업을 고객사로 두고 있다.
국내에서도 융합보안·공급망보안 전문기업 '쿤텍'이 최근 효성벤처스와 NH투자증권 등으로부터 시리즈 A 투자를 유치했고, 에스투더블유(S2W)는 이달 IPO를 통해 코스닥 시장에 성공적으로 안착했다. S2W는 상장일인 19일 공모가(13,200원) 대비 97% 오른 26,000원에 시초가를 형성한 뒤, 25일 신고가인 40,000원을 터치했다.
진화하는 사이버 위협, 사이버 보안 시장에 '대규모 자본' 유입 러시 촉발
사이버 보안 분야에 대규모 자본이 몰린 배경에는 신종 사이버위협이 자리하고 있다. 디지털 전환이 가속화되고 IT 기술이 발전하면서 침해 사고도 급증하고 있다.
과학기술정보통신부와 한국인터넷진흥원이 발표한 보고서에 따르면 2025년 상반기 침해사고 신고 건수가 1,034건으로, 전년 동기(899건) 대비 약 15% 증가했다. 업종별로는 정보통신분야의 침해사고 발생 비중이 32%로 가장 높았고, 발생 건수도 전년 동기대비 29% 증가했다.
올해 상반기 발생한 주요 침해사고로는 국내 1위 이동통신사인 SKT의 대규모 유심정보 유출, 온라인 서점 예스24, SGI서울보증 등의 금품 요구 악성 프로그램(랜섬웨어) 감염사고, 국내외 가상자산 거래소 해킹사고 등이 있다.
문제는 방어 기술의 발전에 맞춰 공격 기법도 보안벽을 우회하거나 틈새를 파고드는 방식으로 지능화·고도화되고 있다는 점이다. 주요 사이버 위협으로는 공급망 공격, 계정정보 대입 공격, 신종 악성코드 등이 있다. 특히 최근 빈번히 발생하고 있는 가상자산 거래소에 대한 사이버 공격은 공급망 공격의 대표적 사례다. 해커들은 보안 수준이 높은 핵심 타깃을 직접 공격하기보다는 상대적으로 보안이 취약한 협력사나 연계 서비스의 취약점을 통해 우회적으로 침투해 주요 자산을 탈취하고 있다.
계정 정보 대입 공격(크리덴셜 스터핑)도 지속되고 있다. 해커들은 해킹 등 다양한 수단을 통해 탈취한 계정정보를 다크웹에서 거래하고 있으며, 이미 유출된 계정정보(ID/PW)를 다른 웹사이트 등에 입력해 무작위로 로그인을 시도하고 있다. 많은 사용자가 여러 웹사이트에서 동일하거나 유사한 비밀번호를 사용하기 때문에 연쇄 피해로 이어지고 있다.
사용자의 접근성 권한을 남용해 민감한 정보에 접근하는 '안티돗'(Antidot), 가상화 기술을 악용해 시스템의 핵심 기능을 제어하거나 은폐하는 '갓파더'(Godfather)와 같은 악성코드도 등장·진화하고 있다. 이러한 악성코드들은 기존의 보안 솔루션으로 탐지하기 어렵도록 설계되는 특징이 있다. 안티돗은 구글 플레이(Google Play) 업데이트로 위장해 유포되는 악성코드다. 사용자로 하여금 '출처를 알 수 없는 앱 설치' 옵션을 활성화하도록 유도한 뒤, 기기에 접근성 서비스 권한을 획득해 기기를 원격으로 조정한다. 2022년 처음 발견된 '갓파더'는 모바일 장치에서 가상 환경을 생성해 은행 앱의 계정 정보와 거래 내역을 탈취하는 방식으로 진화했다. 실시간 감시, 자격 증명 탈취, 거래 조작 등을 시도하면서도 실제 화면과 동일한 UI를 유지해 위장한다.
◆ '수동 파인더·원 스타트·PDF 편집기'로 위장한 악성코드 '이블AI'(EvilAI)
최근 미국 정보보안 기업 트렌드마이크로는 신종 악성코드 '이블AI'(EvilAI)를 소개했다. 트렌드마이크로에 따르면 이블AI는 정교한 소셜 엔지니어링 기법과 AI가 생성한 합법적인 코드를 결합해 시스템에 침투하는 방식으로 탐지를 피하고, 공격 대상 시스템에 지속적인 접근 권한을 확보하는 것으로 알려졌다. 수법도 매우 교묘하다. 이블AI는 사용자들을 속이기 위해 수동 파인더, 원 스타트, PDF 편집기 등 실제 유용한 소프트웨어처럼 보이는 이름을 활용한다. 즉, 합법적으로 보이는 포장으로 위장해 보안 장벽을 넘어뜨리는 전략을 구사한다.
트렌드마이크로는 "이블AI는 전문가처럼 보이는 인터페이스와 유효한 디지털 서명으로 인해 사용자와 보안 도구가 합법적인 소프트웨어와 구별하기 어려운 생산성 또는 AI 강화 도구로 변장한다"라며 "원격 측정에 따르면 이블AI 감염은 빠르게 확산되고 있으며, 유럽, 미주, AMEA(아시아/중동/아프리카) 순으로 가장 많은 사례가 보고됐다"라고 밝혔다.
삼성SDS, 2025년 사이버 보안 5대 위협 발표… AI 악용 피싱·랜섬웨어 '경고등'
삼성SDS는 지난해 국내외에서 발생한 사이버 보안 이슈를 분석해 2025년 주의해야 할 사이버 보안 위협을 발표했다. AI 악용 피싱을 비롯해 클라우드 보안 위협, 랜섬웨어 공격, 소프트웨어(SW) 공급망 보안 위협, OT/IoT 보안 위협 등을 5대 사이버 보안 위협으로 선정했다.
먼저, 삼성SDS는 생성형 AI의 확산과 데이터 분석 등 클라우드 중심의 인프라로 전환하는 기업이 늘면서 AI를 활용한 피싱과 클라우드 보안 위협이 늘고 있다고 진단했다. 원인으로는 잘못된 클라우드 구성 변경, 장기 방치한 '자격 증명' 노출, 기존 시스템 버전의 보안 설정 등을 꼽았다.
이중 갈취 전략으로 진화 중인 '랜섬웨어 공격'도 경고했다. 데이터 암호화와 정보 탈취 후 공개 협박을 병행하는 이중 갈취 전략으로 랜섬웨어 피해가 커지고 있다는 분석이다. 특히 랜섬웨어는 RaaS(서비스형 랜섬웨어)를 통해 프로그래밍 전문지식 없이도 누구나 손쉽게 공격에 가담할 수 있어 피해 규모가 확대되고 있는 추세다.
오픈소스 도입 증가로 최신 SW 공급망에 악성코드가 유입될 위험도 높아지고 있다. 최근 기업들은 내부 자원뿐만 아니라 오픈소스 등 외부 자원을 활용해 SW개발과 운영을 하고 있는데, 이 경우 악성코드 유입이 쉬워져 보안 위협도 증가하고 있는 것이다.
마지막으로 삼성SDS는 인터넷에 연결된 생산 시설과 관련 시스템인 '운영기술'(OT)과 컴퓨팅 장치와 기기, 사물 및 웨어러블 기기간 상호 연결 환경인 '사물인터넷'(IoT) 보안 위협에 대한 우려를 표명했다. 생산시설·연결기기·웨어러블 등 각종 사물의 초연결 환경 확대로, 미업데이트된 OT/IoT 장비가 해커의 주요 공격 목표가 되고 있어서다.
장용민 삼성SDS 보안사업담당(상무)은 "AI 기술을 활용한 보안 위협은 이미 지능적이고 교묘해지고 있으며 전사적 관점의 위기 관리 전략이 필요하다"며 "이에 대응하기 위해 기업은 △AI 기반 지능형 보안 솔루션 도입 △자체 환경에 맞는 클라우드 플랫폼 설정 △기업 정보 시스템 접근 강화 △파트너 IT 및 보안 체계 관리 △강력한 인증 및 정기적 보안 업데이트 등 조직 차원의 대응부터 파트너 대상의 IT 환경 및 보안 체계 관리까지 총괄 개념으로 접근해야 한다"고 강조했다.