개요.

2026년 1분기 사이버 공격 동향은 AI 기반 자동화, 자격증명 중심 공격, 공급망·SaaS 연계 악용, 사회공학과 취약점 공격의 결합으로 특징지어졌다.
공격자들은 생성형 AI를 피싱 메시지 생성, 다국어 확장, 정찰, 코드 변형 및 탐지 우회에 활용함으로써 공격 진입 장벽을 낮추고 실행 속도를 가속화했다.
정상 계정·토큰·세션을 통한 침투가 방화벽 회피보다 선호되면서 클라우드 및 SaaS 환경에서 단일 자격증명 탈취가 광범위한 확산으로 이어지는 사례가 증가했다.
신뢰 관계(협력사·외주·API·자동화 스크립트)의 악용이 효과적인 우회 경로로 부상했다.

분석.

공격자들은 여러 전술을 연쇄 결합하여 탐지를 회피하고 장기 체류를 유도하는 방향으로 진화했다.
AI와 자동화 플랫폼으로 중간 수준 공격자도 고도화된 캠페인을 수행할 수 있게 되어 위협 생태계의 진입 장벽이 하락했다.
EDR/AV 우회, 제로데이 악용(예: Hotta Killer의 CVE-2025-61155) 및 정상 보안업체 업데이터 남용(예: Carbon Black Updater의 upd.exe) 사례가 관찰되었다.
공급망 의존도가 높은 환경에서는 단일 취약점이나 계정 탈취로 조직 전반에 파급효과가 발생할 위험이 증대되었다.
탐지 속도와 연속적 가시성 확보가 방어 성패의 핵심 요소로 부각되었다.

예방 및 진단 정보.

단기적으로 강화해야 할 방어 요건으로는 계정 보호 강화, 다요소 인증(MFA) 적용, 최소권한 원칙 도입, 토큰·세션 관리 및 회수 정책 마련이 포함된다.
로그·세션·API 접근의 중앙 집약적 모니터링과 이상행위 기반 탐지 체계 구축이 필요하다.
공급망·SaaS 연동 서비스의 접근권한, 코드 서명·업데이터 무결성, 자동화 스크립트의 검증 절차가 점검되어야 한다.
제로데이·EDR 우회 위협에 대비한 위협헌팅과 가시성 확보, 보안 솔루션 자체 프로세스 보호 및 무결성 검증이 중요하다.
공급업체 보안성 평가와 사고 대응 시나리오 및 복구 계획의 주기적 점검이 권장된다.