2026 Cloudflare 위협 보고서 소개

오늘날의 위협 환경은 그 어느 때보다 다양하고 심각합니다. 정교한 국가 지원 공격자부터 대규모 볼류메트릭 DDoS 공격, 딥페이크를 악용해 기업 채용 면접에 참여하는 사기범이 존재합니다. 심지어 Google Calendar, Dropbox, GitHub 등의 신뢰할 수 있는 내부 도구를 악용한 은밀한 공격마저 발생하고 있습니다.

지난 한 해 동안 수조 개의 네트워크 신호를 실행 가능한 인텔리전스로 분석한 후, Cloudforce One은 위협 환경에 근본적인 변화가 일어났음을 확인했습니다. 무차별 대입 방식의 침투 시대는 저물고, 그 자리를 어떤 대가를 치르더라도 확실한 결과를 우선하는 높은 신뢰의 익스플로잇 모델이 대체하고 있습니다. 이러한 새로운 국면을 맞이하여 보안 담당자들에게 전략적 로드맵을 제시하고자, 오늘 최초로 Cloudflare 2026 위협 보고서를 발표합니다. 본 보고서는 산업화 수준으로 진화한 사이버 위협 속에서 조직이 올바른 대응 전략을 찾는 데 필요한 인텔리전스를 제공합니다.

Cloudforce One은 공격자들의 심리 분야에서 광범위한 변화를 포착했습니다. 최근의 공격 방식이 그토록 치명적인 이유를 이해하려면, 그 이면에 자리한 핵심 기준인 유효성 척도(MOE)를 살펴봐야 합니다.

2026년 현재, 현대의 공격자들은 복잡하고 막대한 비용이 드는 일회성 해킹과 같은 "정교함"을 추구하기보다는 공격의 '처리량을 우선시하고 있습니다. MOE는 공격자가 다음 악용 대상을 결정하는 데 사용하는 지표로, 투입한 노력 대비 작전으로 얻는 결과의 비율을 냉정하게 계산한 수치입니다.

• 탈취한 세션 토큰(ID 정보)의 MOE가 더 높은데, 굳이 비용이 많이 드는 zero-day 익스플로잇을 사용할 이유가 있을까요?

• 평판 보호(LotX) 기법을 통해 높은 전송률을 자랑하며 추적이 사실상 불가능한 고성능 인프라를 무료로 이용할 수 있는데, 굳이 맞춤형 서버를 구축할 이유가 있을까요?

• AI가 기업의 가장 민감한 데이터로 향하는 연결 구조를 자동으로 찾아낼 수 있는데, 굳이 수동으로 해킹 코드를 작성할 이유가 있을까요?

2026년, 가장 위험한 위협 행위자는 가장 고도화된 코드를 보유한 자가 아닙니다. 위협 인텔리전스와 기술을 하나의 연속된 시스템으로 통합해, 최단 시간 내에 공격 목표를 달성하는 이들입니다.

모두 MOE를 기반으로 도출된 다음 8가지 핵심 동향이 2026년의 위협 환경을 결정지을 것입니다.

1. AI가 고속 공격자 작업을 자동화하고 있습니다. 위협 행위자는 실시간 네트워크 매핑, 익스플로잇 개발, 딥페이크 생성 등에 생성형 AI를 활용하고 있습니다. 이로 인해 전문 기술이 부족한 초보 공격자조차 영향력이 높은 공격을 감행할 수 있게 되었습니다.

2. 국가 지원을 받는 사전 배치 전략이 핵심 인프라의 복원력을 약화시키고 있습니다. Salt Typhoon과 Linen Typhoon을 비롯한 중국 기반의 위협 행위자들은 북미 지역의 통신, 상업, 정부 및 IT 서비스 분야를 최우선 표적으로 삼고 있습니다. 이들은 장기적인 지정학적 영향력을 행사하기 위해 현재 거점을 구축하고 있습니다.

3. 과도한 SaaS 통합 권한으로 인해 공격의 피해 반경이 확대되고 있습니다. Salesloft의 GRUB1 유출 사례에서 알 수 있듯이, 타사 API 통합의 연결 구조에서는 단 하나의 API가 침해되면 수백 개의 개별 기업 환경이 연쇄적으로 노출되는 대규모 피해로 이어질 수 있습니다.

4. 공격자들은 신뢰할 수 있는 클라우드 도구를 무기화하여 공격을 은폐하고 있습니다. 위협 행위자는 Google Calendar, Dropbox, GitHub 등 합법적인 SaaS, IaaS, PaaS 도구를 적극적으로 악용하여 자신들의 악성 행위를 정상적인 기업 활동처럼 위장합니다. 

5. 딥페이크 가상 인물로 인해 서방 기업의 급여 명부에 공격자 요원이 침투되고 있습니다. 북한은 대규모 원격 IT 인력망을 조직적으로 운영하고 있습니다. 이들은 딥페이크 기술과 위조된 신분으로 국가 지원 요원들을 서방 기업의 정식 직원으로 위장 취업시켜, 기업 내부에서 간첩 활동을 벌이고 불법적인 수익을 창출하고 있습니다.

6. 토큰 탈취로 인해 다단계 인증이 무력화되고 있습니다. 공격자들은 LummaC2와 같은 인포스틸러를 무기화해 활성화된 세션 토큰을 수집합니다. 이를 통해 기존의 다단계 인증 절차를 우회하고, 곧바로 인증 완료 이후의 권한을 탈취합니다.

7. 릴레이 사각지대로 인해 내부 브랜드 스푸핑이 가능해지고 있습니다. 서비스형 피싱 봇들은 메일 서버가 발신자 ID를 제대로 재검증하지 못하는 시스템상의 사각지대를 파고듭니다. 이를 통해 신뢰도 높은 브랜드를 사칭한 이메일을 사용자의 받은 편지함으로 직접 전달합니다.

8. 대규모 볼류메트릭 공격이 인프라 용량을 고갈시키고 있습니다. Aisuru와 같은 거대 봇넷이 주도하는 대규모 볼류메트릭 분산 서비스 거부(DDoS) 공격은 정기적으로 역대 최대 규모를 경신하고 있으며, 그 압도적인 규모로 인해 인간의 수동적인 대응이 사실상 불가능해졌습니다. 

이제 당사가 확인한 높은 MOE 전술 중 하나인 무기화된 클라우드 도구에 대해 더 자세히 살펴보겠습니다. 공격자들은 알려진 악성 서버를 사용하는 대신, Google Drive, Microsoft Teams, Amazon S3와 같은 합법적인 클라우드 생태계를 활용하여 명령 및 제어(C2) 트래픽을 교묘히 숨깁니다. 이는 기존에 존재하는 인프라를 악용하는 “LOL(Living Off the Land)” (또는 서비스형 인프라 활용) 기법으로 알려져 있습니다. 신뢰할 수 있는 공급자의 외형을 빌림으로써, 공격자의 활동은 정상적인 기업 트래픽과 사실상 구별이 불가능해집니다. 

나아가 위협 행위자들은 SaaS 플랫폼을 사용하여 공격을 호스팅, 실행, 리디렉션, 확장하고 있습니다. 예를 들어, Amazon SES 및 SendGrid와 같은 서비스는 본래 합법적인 대량 이메일 발송을 목적으로 설계되었으나, 정교한 피싱 및맬웨어 배포 캠페인을 시작하는 데 빈번하게 악용됩니다.

클라우드 자원을 악용하는 방식은 이미 널리 알려진 공격 기법입니다. 러나 당사의 2025년 조사 결과에 따르면, 국가 단위의 해킹 전략이 무서운 속도로 고도화되고 있음을 알 수 있습니다. 공격자들은 단순한 인프라 악용 수준을 넘어, 전면적인 LOL 공격 전략으로의 전환을 가속하고 있습니다. Cloudflare는 2026년에 이르러 위협 행위자들이 이러한 기법을 작전 플레이북의 전략적 목표로 표준화하려 할 것으로 전망합니다.

다음은 주요 위협 행위자 그룹과 이들의 거점, 접근 방식을 보여주는 사례입니다.

MOE를 수립하려면 단순히 높은 수준의 관찰 그 이상이 필요합니다. 2026년 위협 환경의 실체를 진정으로 규명하기 위해, 본 보고서는 Cloudforce One이 내부의 전문 지식과 글로벌 원격 분석 데이터의 독보적인 조합을 활용해 기존 보안 모델이 놓치고 있던 인사이트를 어떻게 발굴해 냈는지 상세히 설명합니다. 

Cloudflare의 방법론은 다각적으로 이루어지며, 예를 들면 다음과 같습니다. 

• 당사는 AI 기반 방어 연구의 일환으로, AI 코딩 에이전트에 자체적인 취약점 분석을 지시하여 스스로 보안 공백을 찾아내도록 했습니다. 이러한 "도그푸딩(dogfooding)" 기법을 통해, 인증 절차 없이 원격으로 코드를 실행할 수 있는 마크다운 렌더링 파이프라인의 치명적인 결함인 CVE-2026-22813(CVSS 9.4)를 발견할 수 있었습니다. 

• 서비스형 피싱을 심층 분석한 결과, 사이버 공격의 진입 장벽이 사실상 허물어졌음을 확인했습니다. 당사의 분석가들은 공격자들이 평판이 높은 도메인(Google Drive, Azure 등)을 악용해 필터를 우회하는 것을 관찰했습니다. 또한, 이메일 원격 분석에 따르면 분석된 이메일의 약 46%가 이메일 인증 프로토콜인 DMARC를 통과하지 못하는 등 신원 검증의 허점이 발견되었습니다. 이는 PhaaS 봇들이 얼마나 광범위한 공격 표면을 빠르게 악용하고 있는지를 방증합니다.

• 당사는 은밀한 익스플로잇 위주에서 블랙아웃을 노리는 공격으로의 전환 추이를 추적한 끝에, DDoS 공격의 기준선이 무려 31.4Tbps에 달한다는 사실을 밝혀냈습니다. 나아가 원격 분석 결과, 지난 3개월간 이루어진 전체 로그인의 63%가 이미 다른 곳에서 유출된 자격 증명을 재사용하고 있었으며, 현재 전체 로그인 시도의 94%가 사람이 아닌 봇에 의해 발생하고 있음을 확인했습니다.

연구 과정의 전 단계에 걸쳐, Cloudforce One은 방대한 글로벌 원격 분석 데이터와 최전선의 위협 인텔리전스를 활용해 표면적으로는 무관해 보이는 보안 사건들 사이의 연관성을 파악했습니다. zero-day 익스플로잇을 선제적으로 차단하기 위해 AI 에이전트를 도그푸딩하는 작업부터, 가정용 프록시 망을 거쳐 터널링하는 감염된 봇 호스트 공격을 추적하는 일에 이르기까지, Cloudflare의 통합된 가시성은 단 하나의 자격 증명 피싱이 어떻게 멀티 테라비트 규모의 블랙아웃로 이어지는지 그 연결 고리를 명확히 보여줍니다. 

이러한 공격의 연결 고리를 식별하는 것은 대응의 시작에 불과합니다. 위협이 기계의 속도로 확산되는 현 상황에서, 인간의 개입에 의존하는 방어 방식은 더 이상 유효한 보호막이 될 수 없습니다. "시스템화된 공격"에 맞서려면, 업계 전반의 보안 담당자들은 공격자의 MOE를 0으로 낮출 수 있는 자율 방어 모델로 전환해야 합니다.

자율 방어로의 전환은 수동으로 확인하는 체크리스트나 단편적인 보안 경고 수준을 뛰어넘는 것을 의미합니다. 조직은 실시간 가시성과 자동화된 대응 역량을 활용해 네트워크의 연결 구조를 강화해야 합니다. 이 새로운 시대의 진정한 목표는 단순히 더 견고한 방어벽을 쌓는 데 그치지 않고, 아무도 지켜보지 않는 순간에도 시스템 스스로가 공격자보다 한발 앞서 빠르게 대응할 수 있는 체계를 갖추는 것입니다.

이러한 패러다임의 전환을 지원하고자, 오늘 Cloudflare는 처음으로 위협 이벤트 플랫폼의 대대적인 업그레이드를 선보입니다. 이제 당사 플랫폼은 단순한 데이터 액세스 수준을 넘어, 보안 운영 센터를 위한 완전 자동화된 시각적 지휘 통제 센터로 진화했습니다. 

Cloudforce One 연구진의 전문성과 독보적인 위협 가시성을 바탕으로, 당사는 산업화된 사이버 위협에 선제적으로 대응하는 데 필수적인 인텔리전스를 제공합니다. 전체 데이터 세트와 심층적인 사례 연구, 전술적 권장 사항이 궁금하시다면 2026 Cloudflare 위협 보고서 전문을 확인해 보시기 바랍니다. 

Cloudflare의 위협 인텔리전스, 관리형 방어, 또는 인시던트 대응 서비스에 대한 자세한 정보는 Cloudforce One 전문가에게 문의해 주세요.