APT 공격자들은 AI 기술을 어떻게 사용할까? 카스퍼스키 GReAT의 MITRE 기반 분석

고도의 사이버 공격자들은 발전된 인공지능(AI) 기술을 어떻게 활용할까?

공격자들은 챗GPT(ChatGPT)를 이용해 악성코드(malware)를 개발하고 공격하는 수준을 넘어 보다 지능형지속위협(APT)같은 보다 정교한 공격에 AI 기술을 적극 이용할 것으로 예상되고 있다.

이 가운데 글로벌 보안 기업인 카스퍼스키의 GReAT(Global Research and Analysis Team)는 23일부터 26일까지 인도네시아 발리에서 열린 9번째 ‘카스퍼스키 아시아태평양지역(APAC) CWS(Cyber Security Weekend)’ 컨퍼런스에서 공격자들이 정교한 APT 표적 공격에 AI를 활용하는 방법에 대해 분석한 내용을 공개했다. GReAT는 전세계에서 활용하는 주요 사이버공격 그룹들을 추적하고 위협 활동을 분석하는 카스퍼스키 전문가 조직이다.

누신 샤밥(Noushin Shabab) GReAT 소속 아태지역 수석 보안 연구원은 사이버공격자들의 공격 기법과 전술, 절차(TTPs)를 비롯해 이들의 활동을 이해할 수 있도록 구현한 마이터 어택(MITRE ATT&CK) 프레임워크에서 정의한 각 공격 단계에서 AI를 어떻게 사용할 수 있는지 소개했다.

샤밥 수석 보안 연구원은 먼저 “AI는 사회공학적 기법을 사용하는 피싱 이메일이나 가짜 웹사이트, 그리고 보다 명확한 기능을 갖춘 멀웨어를 개발하는 데 사용될 수 있다. 이밖에도 정교한 사이버 공격의 여러 단계에서 사용될 수 있다”고 말했다. 이어 “APT 공격자들은 탐지를 회피하기 위한 정교한 기술과 지속성을 유지하기 위한 은밀한 방식을 결합해 사용한다”라면서 “AI는 정찰 단계부터 데이터 유출에 이르기까지 사이버범죄자들에게 도움이 될 수 있다”고 강조했다.

APT 공격은 지속적이고 은밀하며 정교하게 이뤄지는 지능형 공격이다. 공격자는 정교한 해킹 기술을 사용해 공격 대상 시스템에 접근해 성공할 때까지 장기간 내부에 머무르며 지속적인 공격 활동을 수행한다. 공격자는 침입 단계에서 시스템 취약점을 파악하고 관련 정보를 수집하기 위한 정찰부터 리소스 개발, 실행, 데이터 유출 등과 같은 여러 공격 단계를 거치며 공격 목표를 달성한다.

정찰과 리소스 개발(Reconnaissance, Resource Development)

공격자들은 정찰 단계에서 AI를 효과적으로 사용할 수 있다. 정찰은 침입 전 단계로 공격자가 표적이 되는 시스템의 잠재적인 취약점을 파악하고 이에 대한 정보를 수집한다. 그 리소스 개발은 공격자가 공격 대상과 취약점에 대해 알고 도구를 만들거나 수정하기 시작하는 정찰 다음 단계다. 공격을 위한 인프라에 접근하고 소셜 미디어 계정을 만들거나 무단 액세스하는 개념이다.

AI는 온라인 데이터베이스, 소셜 미디어 플랫폼 등 다양한 소스의 데이터 분석을 자동화하고 기업 환경에서 사용 중인 시스템과 애플리케이션, 직원과 협력업체 등 방대한 세부 정보를 수집해 표적 기업을 파악하는데 도움을 줄 수 있다. 네트워크 아키텍처를 평가해 취약한 곳을 파악하고 가장 효과적인 진입 지점을 찾을 수 있게 지원할 수도 있다.

리소스 개발 단계에서는 공격자가 AI를 사용해 한층 고급 기능을 갖춘 멀웨어를 만들 수 있다. 또 오픈소스 도구를 찾거나 구매 또는 수정할 수 있는 도구에 대한 정보를 수집하는 데도 AI를 사용할 수 있다. 나아가 AI를 사용해 네트워크 인프라나 도메인을 구매하고 소셜 미디어 계정을 만들거나 계정을 침채하는 등의 공격 인프라 구축 관련 작업을 자동화하는 데도 AI가 도움을 줄 수 있다.

초기 액세스(Initial access)

초기 액세스는 공격 대상 환경에 대한 첫 번째 발판을 확보하는 것을 말한다. 공격자가 데이터 탈취나 악성코드 설치를 수행하기 위한 이메일 등을 통한 사기수법인 스피어피싱(spear phishing)은 APT 공격자들이 선호하는 초기 접근 기법이다. 아태지역에서 활동 중인 14개 사이버 범죄 그룹 중 10개 그룹이 이 수법을 사용해 공격 대상 네트워크에 침입하고 있다.

AI 스마트 머신은 사이버 범죄자가 매우 설득력 있고 정교한 피싱 이메일 메시지를 제작하는 데 도움을 줄 수 있다. 아울러 공격 표적 네트워크에 가장 적합한 진입 지점을 찾고 공격을 시작하기에 가장 최적의 시점을 파악하는데도 역할을 할 수 있다. 이 때 AI는 네트워크와 시스템 활동의 패턴을 분석하고 보안 경계가 낮거나 노이즈가 많은 시기에 공격을 시작하도록 할 수 있다.

이 기술은 패턴이나 이전 침해 사례를 바탕으로 가능성이 높은 비밀번호를 지능적으로 선택하는 무차별 암호(비밀번호) 대입 공격을 강화할 수도 있다. AI 알고리즘은 사용자 행동 패턴, 소셜 미디어 활동, 개인 정보를 분석해 비밀번호에 대한 훈련 기반 추정이 가능해 접속 성공 가능성을 높일 수 있다.

실행(Execution)

공격 표적 환경에서 악성코드를 실행시키는 단계에서 AI는 보안 조치에 대응해 악성코드의 동작을 조정할 수 있어 공격 성공 가능성을 높인다.

AI 기반 난독화는 탐지를 회피하기 위해 코드 구조를 변경하는 다형성 멀웨어를 생성할 수 있다. 또 AI가 선택한 명령 및 스크립팅 인터프리터는 대상 환경을 분석하고 시스템 특성을 이해해 악성 스크립트나 명령을 실행하는 데 가장 적합한 방식을 선택할 수 있도록 지원할 수 있다.

많은 APT 공격자들은 시스템을 표적으로 삼는 경우 파워쉘과 같은 명령 및 스크립팅 인터프리터를 사용한다. 이는 시스템에서 짧은 스크립트를 실행해 해당 스크립트로 피해자의 컴퓨터에서 악성코드를 실행하는 데 사용할 수 있는 기본 파이썬(Python)이다. 이는 시스템에서 예약된 작업을 통해 특정 시간에 시스템 명령에 의해 악성코드가 실행되도록 할 수 있다는 얘기다. 공격자들은 사회공학적 기법을 이용해 가장 적합한 명령어 인터프리터를 찾아 사용하는데, 이는 사용자가 악성 파일과 상호작용할 가능성을 높여 공격이 성공할 가능성을 높일 수 있다.

APT 그룹은 공격 지속성을 달성하기 위해 예약된 작업을 주로 수행한다. 시스템이 악성코드에 감염된 상태를 계속 유지하도록 하는 방식이다. 부팅 또는 로그온 자동 시작 실행 기법도 많이 사용한다. 공격자가 특정 폴더(시작 폴더)에 악성코드를 넣거나 특정 레지스트리 항목을 만들 수 있다. 시스템이 다시 시작될 때마다 악성코드가 실행되도록 만드는 방법이다. 이와 관련해 AI는 사용자 행동 분석을 기반으로 악성코드를 실행하는 데 가장 적합한 스크립트를 생성할 수 있다. 뿐만 아니라 위협 행위자는 공격 대상 환경 변화에 맞춰 지속성 메커니즘을 동적으로 조정할 수 있는 AI 기반 악성코드 개발도 가능하다.

뿐만 아니라 AI 기반 모니터링 메커니즘은 시스템 변경 사항을 추적해 지속성 전술을 조정할 수도 있다, AI 기반 기술은 윈도우 레지스트리 항목을 조작해 지속성 레지스트리 키를 업데이트하고 탐지를 회피할 수 있다. 공격자는 알고리즘을 사용함으로써 시스템을 모니터링해 시스템의 동작을 파악하고, 그 시스템에 구현된 모니터링 기술을 우회할 수 있도록 조정할 수 있다.

이밖에도 공격자는 AI를 사용해 전통적인 방식의 무차별 암호 대입 공격을 더욱 강력하게 만들 수도 있다.

데이터 유출(Exfiltration of Data)

AI는 공격자가 네트워크 트래픽 패턴을 분석해 일반적인 네트워크 동작들 속에 효과적으로 숨어있을 수 있게 만든다. 그리고 데이터를 유출하기에 가장 적합한 통신 채널을 파악할 수 있게 지원한다.

최적의 통신 채널이 마련되면 공격자는 시스템에서 수집한 데이터를 감사자를 피해 외부로 전송한다. APT 행위자는 클라우드 스토리지로 데이터를 유출하거나 도메인에 접속한 자체 관리자와 직접 통신해 시스템에서 공격자 자신의 서버로 데이터를 유출하기도 한다.

심지어 AI는 탈취한 데이터를 난독화, 압축, 암호화하는 최적의 방식으로 이상 트래픽 탐지를 피할 수 있도록 돕는다.

샤밥 수석 보안 연구원은 “AI는 공격자의 행위에 대한 효과를 향상시키고 효율성을 높여 공격 효과를 극대화하는 데 도움을 줄 수 있다”고 경고했다.

그는 기업과 조직이 AI를 이용한 APT 공격 방어력을 높이기 위한 방안으로 고급 보안 솔루션을 사용해 사용자와 시스템 동작을 모니터링하고 정상 패턴에서 벗어난 행동을 식별할 수 있어야 한다고 강조했다. 또한 공격자가 악용할 수 있는 취약점을 제거할 수 있도록 정기적인 소프트웨어(애플리케이션과 운영체제) 업데이트를 수행해 최신 상태로 유지할 것을 권고했다.

아울러 사회공학적 기법을 사용하는 공격이나 피싱 시도를 피할 수 있는 방법을 포함해 사이버보안 모범사례를 제공하는 사용자 교육과 인식 제고 활동을 강화할 것을 제안했다.

이와 함께 중요한 시스템과 애플리케이션에 액세스할 때는 다중요소인증(MFA)을 적용해 자격 증명이 손상되더라도 무단 액세스가 이뤄질 수 있는 위험을 줄여야 한다고 덧붙였다.

글. 발리(인도네시아)=이유지 기자<yjlee@byline.network>