본문으로 건너뛰기
보안 지식

2026 DBIR로 보는 기업 보안 사각지대: 취약점은 빨라졌고, 유출은 여전히 화면에서 시작된다

|
약 5분
모니터독(MonitorDog) 팀
모니터독(MonitorDog) 팀
AI 기반 시각적 해킹 차단 솔루션

Verizon이 매년 발간하는 Data Breach Investigations Report(DBIR)는 실제 침해 사고 데이터를 기반으로 한 보고서라 읽을 때마다 불편한 숫자들이 나옵니다. 2026년 버전도 마찬가지입니다. 공격자는 더 빨라졌고, 침투 경로는 더 실용적으로 바뀌었으며, 사람을 노리는 공격은 더 익숙한 업무 채널로 이동하고 있습니다.

가장 눈에 띄는 변화 — 취약점 악용이 1위로

2026 DBIR에서 처음으로 취약점 악용이 초기 침투 1위 경로가 됐습니다. 전체 침해의 31%가 여기서 시작됐고, 19년간 DBIR 역사에서 취약점 악용이 도난 자격증명을 앞선 건 이번이 처음입니다.

이 숫자를 "패치를 더 빨리 해야 한다"는 메시지로만 읽으면 핵심을 놓칩니다. 더 근본적인 문제는 공격자와 방어자 사이의 속도 격차입니다. 공격자는 공개된 익스플로잇과 자동화 도구로 취약한 시스템을 빠르게 스캔합니다. 방어 측은 자산을 식별하고, 영향 범위를 판단하고, 변경 승인을 거쳐야 합니다. VPN, 방화벽, 원격접속 장비, 오래 방치된 관리자 콘솔처럼 인터넷에 노출된 시스템이 많을수록 이 격차는 커집니다.

사람을 노리는 공격은 채널을 바꿨다

취약점 악용이 올라갔다고 사회공학 공격이 줄어든 건 아닙니다. 오히려 공격자는 더 자연스러운 채널로 이동했습니다.

2026 DBIR은 모바일 중심 사회공학 공격의 증가를 강조합니다. 이메일 피싱에 조금씩 익숙해진 사용자들을 겨냥해, 공격자는 SMS, 음성 통화, 모바일 메신저, 실시간 대화형 사칭으로 채널을 넓혔습니다. Verizon은 모바일 기반 사회공학의 성공률이 전통적인 이메일 피싱보다 높아졌다고 설명합니다. 업무 인증 요청, 보안팀 사칭, 긴급 승인 요청이 PC 메일함이 아니라 직원의 스마트폰으로 도착합니다. 짧은 화면, 빠른 응답 습관, 업무와 개인 알림이 섞인 환경은 공격자에게 유리하게 작동합니다.

"악성 첨부 파일을 열지 말라"는 교육만으로는 부족합니다. 지금 공격자가 파고드는 건 사용자의 일상적인 의사결정 흐름입니다.

취약점 악용과 화면 유출은 별개가 아니다

서버 취약점과 화면 보안을 별개 영역으로 나눠 보면 실제 사고 흐름을 놓치게 됩니다.

공격자가 취약점을 통해 내부 시스템에 접근하면 그 다음은 민감 데이터의 위치를 찾는 것입니다. 고객 정보, 결제 정보, 설계 문서, 관리자 화면이 어디 있는지 확인해야 합니다. 이때 많은 정보는 파일이 아니라 브라우저, CRM, 콜센터 상담 화면, 내부 대시보드에 표시됩니다.

반대 방향도 마찬가지입니다. 내부자나 협력업체 직원은 시스템을 해킹하지 않아도 됩니다. 이미 권한이 있는 계정으로 민감 화면을 열고 스마트폰으로 촬영하면 됩니다. 네트워크 전송도, USB 복사도, 클립보드 사용도 없습니다. 기존 DLP와 SIEM이 볼 수 있는 이벤트가 거의 남지 않습니다.

결국 "공격자가 어떻게 들어왔는가"만이 아니라 들어온 뒤 어떤 화면이 어떻게 나갔는가까지 물어야 합니다.

기존 보안 도구가 잘 보는 것, 못 보는 것

EDR은 프로세스 실행과 파일 변경을, DLP는 이메일 첨부·클라우드 업로드·USB 복사·출력물 제어를, SIEM은 로그 수집과 상관 분석을 담당합니다. 이 도구들은 필수입니다. 공통점이 하나 있다면, 모두 시스템 안에서 발생한 이벤트를 중심으로 설계됐다는 것입니다.

스마트폰으로 모니터를 촬영하는 행위는 시스템 안에서 일어나지 않습니다. 회사 PC의 파일 시스템에도 기록되지 않고, 네트워크를 통과하지도 않으며, 클립보드나 스크린샷 API를 호출하지도 않습니다. 개인 스마트폰의 카메라 센서를 통해 화면 정보가 이미지로 저장될 뿐입니다. 민감 정보가 실제로 노출되는 지점은 화면인데, 많은 보안 체계는 화면 앞에서 벌어지는 물리적 행위를 보지 못합니다.

스마트폰, 두 가지 의미의 리스크

2026 DBIR이 직접 보여주는 것은 모바일 사회공학의 증가입니다. 여기에 실제 업무 환경의 화면 유출 시나리오를 함께 보면, 스마트폰은 두 가지 방향에서 보안 리스크가 됩니다.

하나는 공격자가 직원을 속이는 채널로서의 스마트폰입니다. SMS 피싱, 음성 피싱, MFA 승인 유도 공격은 모바일 환경에서 더 자연스럽게 작동합니다. 다른 하나는 정보 유출 도구로서의 스마트폰입니다. 모니터 화면을 촬영하거나 고객 정보가 표시된 상담 화면을 이미지로 저장하는 데 특별한 기술이 필요하지 않습니다. 고해상도 카메라와 클라우드 자동 백업은 한 번 촬영된 이미지가 빠르게 외부로 확산될 수 있다는 뜻입니다.

MDM 정책 대상으로만 보면 두 번째 리스크를 놓칩니다. 업무 화면 앞에 놓인 스마트폰, 민감 구역에 반입된 스마트폰, 재택근무 환경에서 화면을 향한 스마트폰까지 운영 리스크로 바라봐야 합니다.

지금 점검해야 할 것들

2026 DBIR의 흐름을 실제 운영으로 옮기려면 몇 가지를 확인해야 합니다.

인터넷 노출 자산 목록부터 시작하는 게 맞습니다. 취약점 악용이 주요 침투 경로가 된 환경에서는 보안팀이 모르는 시스템이 패치 대상에도 들어가지 않습니다. 문서상 목록이 아니라 실제 외부에서 보이는 자산을 파악해야 합니다. VPN, 방화벽, 원격접속 장비, 관리자 콘솔, 오래된 서브도메인까지 포함해서요.

패치 우선순위는 CVSS 점수만 볼 게 아니라 CISA KEV(Known Exploited Vulnerabilities) 등재 여부를 함께 봐야 합니다. 실제 악용이 확인된 취약점이 인터넷 노출 시스템에 있다면 일반 패치 주기가 아닌 긴급 대응 프로세스로 다뤄야 합니다.

보안 교육이 이메일 첨부 파일 클릭 금지에 머물러 있다면 현재 공격 흐름을 반영하지 못합니다. SMS, 전화, QR 코드, MFA 승인 요청, 보안팀 사칭 시나리오가 훈련에 들어가야 합니다. 특히 관리자, 재무, 개발 운영 담당자는 공격자가 선호하는 표적인 만큼 실제 업무 흐름을 반영한 시나리오가 필요합니다.

민감 화면이 어디서 열리는지 파악하는 것도 빠뜨리기 쉽습니다. 데이터 분류가 파일 저장소에만 적용되고 실제 업무 화면에는 적용되지 않는 경우가 많습니다. 고객 정보나 설계 문서가 자주 열리는 구역은 좌석 배치, 방문객 동선, 스마트폰 반입 정책을 별도로 검토해야 합니다.

마지막으로, 가장 직접적인 질문입니다. 현재 운영 중인 보안 도구 중 어떤 것이 직원의 모니터 화면을 향한 스마트폰 촬영 시도를 탐지할 수 있는가. 대부분의 조직에서 답은 "없다"입니다. 탐지와 기록이 없다면 사고 발생 후 입증과 대응이 어렵습니다. 정책으로 금지되어 있어도 마찬가지입니다.

화면 보안은 추가 방어선이다

화면 보안은 기존 DLP나 EDR을 대체하지 않습니다. 역할이 다릅니다. DLP는 디지털 경로를 통한 데이터 이동을, EDR은 엔드포인트 내부 악성 행위를, SIEM은 로그 기반 이상 징후를 봅니다. AI 기반 화면 보안이 보는 것은 업무 화면 앞의 물리적 상황, 스마트폰 촬영 자세, 재택근무 환경의 시각적 노출입니다.

MonitorDog은 직원 PC의 웹캠을 통해 화면 주변 상황을 분석하고, 스마트폰 촬영 시도가 감지되면 즉시 화면을 차단하고 이벤트를 기록합니다. 기존 보안 체계가 보지 못하던 화면 앞의 순간을 감사 가능한 보안 이벤트로 남기는 접근입니다.

공격자가 더 빨리 움직이는 환경에서는 침투 지점만 막아서는 부족합니다. 민감 정보가 최종적으로 표시되는 화면, 그 화면 앞에서 벌어지는 행동까지 보안 체계 안으로 가져와야 대응이 온전해집니다.

실제 업무 환경에서 MonitorDog이 어떻게 동작하는지 확인하고 싶다면 무료 데모를 신청해 보시기 바랍니다.

데모 신청하기

참고 자료

최신글

보기

security

2026년 2월 12일

CISO를 위한 내부 정보 유출 방지 체크리스트
security

2026년 4월 24일

로그가 없는 유출: 스마트폰 촬영 사고가 뒤늦게 드러나는 이유
security

2026년 3월 14일

기업 내부에서 실제로 일어난 스마트폰 촬영 정보 유출 사건과 실무 대응 전략