투데이e코노믹 = 유서진 기자 | 영국 런던에 본사를 둔 사이버 보안 컨설팅·교육 기업 Cyber Management Alliance(CMA)가 2025년 한 해의 주요 사이버 공격 7건을 정리하며, 연동·토큰·제3자 경로로 이어지는 ‘연결된 생태계’ 자체가 공격이 되는 흐름을 경고했다. CMA는 NCSC(영국 국가사이버보안센터) 인증 기반의 사고대응 교육·테이블탑 훈련 등을 제공하는 보안 전문기관으로, 기업·공공 부문을 대상으로 인시던트 대응 역량 강화를 지원해 왔다고 소개한다.

CMA가 꼽은 첫 사례는 30개 데이터셋에서 160억 건 이상 로그인 정보 노출 정황이 확인된 ‘메가 리크’다. 단일 기업 해킹이라기보다 인포스틸러 악성코드와 과거 유출 데이터가 누적돼, 계정탈취(credential stuffing) 위험을 ‘산업 규모’로 키웠다는 평가다. 이어 Salesforce–Salesloft/Drift 연동 과정에서 OAuth(리프레시) 토큰이 악용된 사건을 ‘SaaS 공급망’ 대표 사례로 제시했다. 구글 위협 인텔리전스 그룹(GTIG)도 해당 경로를 통한 Salesforce 데이터 절취 캠페인을 경고한 바 있다.

랜섬웨어는 ‘운영 중단’의 파괴력을 재확인했다. 영국 M&S(마크스앤스펜서) 사례에선 사이버 공격 이후 영국·아일랜드 온라인 주문이 중단되는 등 핵심 서비스가 타격을 받았다.

재규어 랜드로버(JLR) 역시 공격 여파로 생산·출하 차질이 이어졌고, 영국 가디언은 2025년 말 분기 도매 물량이 전년 대비 43.3% 감소했다고 전했다.

미국에선 Change Healthcare 랜섬웨어가 의료 청구·진료·결제 흐름을 흔들며 ‘의료 인프라의 단일 장애점’ 문제를 부각했다. 미 보건복지부(HHS)는 2025년 7월 31일 기준 약 1억9270만 명이 영향을 받았다고 OCR 통지 내용을 공개했다.

통신 분야 사례로는 SK텔레콤의 HSS·USIM 관련 침해가 포함됐다. CMA는 인증·식별 영역의 침해가 SIM 스와핑 등 2차 위험으로 번질 수 있다고 경고했다. 관련해 로이터는 한국 개인정보보호위원회(PIPC)가 2025년 8월 약 1340억 원 규모 과징금을 부과했다고 보도했다.

마지막으로 Red Hat 컨설팅 조직의 GitLab 침해는 VPN 설정·인프라 다이어그램·API 키 등 ‘공급망 설계도’ 성격 자료 유출이 후속 공격의 발판이 될 수 있다는 점에서 경고 사례로 제시됐다.

CMA는 이번 7대 사건을 관통하는 결론으로, “연결(연동·토큰·제3자)이 곧 공격”을 제시했다. 계정 재사용과 토큰 기반 연동, 벤더 경로, 랜섬웨어의 운영 중단 전략이 결합하면서 사이버 사고가 한 기업을 넘어 산업 전반으로 확산되는 구조가 고착화되고 있다는 진단이다.