“사이버공격자 탐지·식별 더 힘들어졌다…AI 활용해 위협 탐지 대응 속도 높여야”
구글 클라우드 시큐리티, 글로벌 사이버공격 동향·공격자 제미나이 사용 현황 분석 결과 공개
“사이버공격자들이 사용하는 새로운 기법과 전술을 탐지하고 대응하는 속도를 높여야 한다. 방어자들이 생성형 인공지능(AI)을 활용한다면 공격자들과의 격차를 줄이는 데 도움이 될 것이다. 구글 클라우드 시큐리티가 지원하겠다.”
루크 맥나마라(Luke McNamara) 구글 위협 인텔리전스 그룹 부수석 애널리스트는 19일 서울 강남파이낸스센터(GFC)에서 가진 ‘구글 클라우드 시큐리티 데이 미디어 브리핑’에서 날이 갈수록 정교해지는 최근 사이버공격자들과 글로벌 위협 동향을 소개한 뒤 이같이 강조했다.
맥나마라 부수석 애널리스트에 따르면, 사이버공격자들은 탐지를 회피하는 데 집중하며 기존의 보안 탐지 가시성에서 벗어나 다양한 침입을 경로를 모색하는 방식으로 공격을 수행하고 있다. 탐지되지 않는 상태에서 공격을 수행하는 것을 목표로 하고 있으며, 기업 내부로 침입할 경우에는 보안 기술이 존재하지 않는 가시성 범위 밖에서 공격을 수행하는 방식을 활용하고 있다.
그 대표적인 유형으로는 가상사설망(VPN) 라우터, 이메일 보안 게이트웨이 등 엣지 디바이스를 공격하거나 모바일 단문문자메시지(SMS)를 활용한 피싱, 메시징 애플리케이션을 활용한 공격, QR 코드를 사용한 피싱을 수행하는 방식이 있다. 또 임직원에 대한 표적 공격으로 기업의 접근 권한을 획득하기도 한다.
그는 또 “전세계적으로 범죄자, 해킹그룹, 국가 지원 공격자 간 경계가 점점 모호해지고 있다”며 “이는 보안 업무 담당자가 어트리뷰션(Attribution, 공격의 속성을 파악)하는 데 있어 어려움이 커졌다는 것을 의미한다”고 지적했다. 맥나마라 부수석이 언급한 ‘사이버 어트리뷰션(attribution)’은 사이버공격의 출처 또는 특성을 추적하고 식별하는 프로세스를 말한다.
이와 관련해 그는 “하나의 사이버범죄집단이 침입 초기에 접근 권한을 획득한 뒤 다른 범죄집단이나 국가 지원을 받는 공격자에게 넘겨주는 경우가 흔해졌다. 또 국가나 정부의 지원을 받는 공격자들이 핵티비스트인 척 위장을 하고 활동하기도 하고, 핵티비스트와 함께 긴밀히 공조를 하는 경우도 있다”고 덧붙였다.
소프트웨어나 시스템의 알려지지 않은 보안 취약점을 이용하는 제로데이 공격(Zero Day exploits)이 꾸준히 증가하고 있는 것도 굵직한 위협 트렌드로 꼽았다. 맨디언트는 지난 2023년 98건, 2024년에는 76건의 제로데이 공격 발생 건수를 확인했다. 2024년에 발생한 제로데이 공격은 VPN, 보안 기기, 소프트웨어, 모바일 기기 등 다양한 영역에서 나타났다.
맨디언트는 이같은 제로데이 공격이 중국의 지능형지속위협(APT) 공격그룹에서 주로 사용하는 수법으로 파악하고 있다. 과거에는 중국의 공격그룹들이 광범위한 시스템을 대상으로 과감한 대규모 공격을 펼쳤다면, 최근에는 특정한 목표를 겨냥해 보안 시스템에 걸리지 않도록 흔적을 최소화하며 보다 정밀하고 은밀하게 공격하는 방식으로 변화했다는 분석이다.
제로데이 공격을 활발히 사용하고 있는 가운데, 개인의 부주의와 취약점을 노려 정보를 얻거나 시스템에 접근하는 소셜 엔지니어링 기법 대신 네트워크 엣지의 결함을 집중 공격하는 방식을 이용한다. 또 해킹된 서버, 라우터같은 장치를 연결해 만든 손상된 네트워크 인프라(ORB)를 사용해 공격 탐지와 추적을 어렵게 하고 있다.
또 한 번 액세스를 획득하고 난 이후에는 직접 멀웨어를 바로 배포하거나 활용하기보다는 그 내부 환경에 이미 존재하고 있는 툴을 활용해 공격을 이어서 수행하는 방식인 LOTL 공격(Living off the land)도 사용하고 있다는 게 그의 얘기다.
이밖에도 관리형 IT 서비스 제공업체(MSP), 통신사를 비롯해 IT 공급망을 갖춘 업체들의 운영체제, 클라우드, 네트워크 장비 등의 기술 인프라를 장악하는 공급망 공격도 활용하고 있다고 설명했다.
공격자 생성형 AI 활용 수준은 아직 초보 단계…공격 생산성·효율성 증대
이에 더해 사이버공격자들이 AI 기술을 적극 활용하고 있다는 점도 지적했다. 맥나마라 부수석 애널리스트는 구글의 위협 분석 그룹(Threat Analysis Group, TAG)이 위협 행위자들이 구글의 AI 도구인 제미나이를 사용하는지 추적 조사한 결과를 소개했다.
그는 “이 조사를 진행하기 전 공격자들은 타사의 생성형 AI를 활용하는 사례들이 이미 있었다. 정보 작전을 수행하는 데 활용한다거나 아니면 이미지나 페르소나를 생성하기 위한 딥페이크에서 사용하는 경우”라면서 “이번 조사 결과 공격자들은 제미나이를 활용해 그들의 워크플로우를 더욱 최적화하고 효율성을 증대하는 데 주로 활용하는 것으로 나타났다. 아직까지는 생성형 AI를 활용해 완전히 새로운 공격 기법을 만들지는 못하고 있다. 보안 업무를 담당하는 방어자들이 자동화를 통해 효율성을 증대하는 것과 비슷한 방식으로 현재 제미나이를 사용하고 있다”고 말했다.
결과적으로 구글 TAG은 사이버공격자들이 제미나이를 활용해 공격 운영을 활성화하기 위한 방법들을 실험 중인 것으로 판단하고 있다. 예를 들어 정부 지원을 받는 APT 공격자는 제미나이로 문제 해결 스크립팅을 수행하고, 정보 작전(IO) 행위자는 콘텐츠 제작이나 현지화 업무수행에 제미나이를 사용하고 있다. 아직은 제미나이를 생산성 향상 도구로 사용하는 수준에 그치고 있고, 새롭거나 독보적인 방식의 AI 공격 기법이나 기능을 개발하진 못한 것으로 분석하고 있다. 이같은 방식을 사용하는 위협 행위자들이 관찰되지는 않았다는 것이다. 다만 중국, 이란, 북한의 APT 그룹들이 공격 라이프사이클의 일부 단계에서 정보 수집, 취약점 연구, 피싱 공격을 위한 텍스트 생성, 스크립트 작성 등에 생성형 AI를 사용하고 있다고 판단했다.
한편, 맨디언트가 2024년 4분기 클라우드 환경에 대한 서비스 조사에 따르면, 데이터 탈취·갈취 및 사기 행위 비중이 각각 37%에 달했고, 피싱 이메일 배포와 랜섬웨어가 각 5%를 차지했다. 2024년 4분기 맨디언트가 대응한 사고 중 초기 침해 경로가 확인된 약 43%는 피싱 수법을 통해 인증 정보가 유출된 경우였다.
아울러 맨디언트는 랜섬웨어 및 데이터 갈취 행위와 관련된 데이터 유출 사이트(DLS) 피해 추정 건수는 지속적으로 증가한 것으로 파악하고 있다. 지난해 데이터 탈취 피해 건수는 맨디언트가 2020년부터 DLS를 추적하기 시작한 이래 가장 많이 발견됐으며, DLS에 게재된 전체 피해자 수 뿐만 아니라 새롭게 개설된 DLS 또한 증가하고 있는 것으로 나타났다. DLS 관련 공격자들은 몸값(랜섬)을 지불하지 않으면 탈취한 데이터를 온라인에 올리겠다는 식으로 피해기업이나 기관을 협박한다.
그리고 지난 2년간 한국에서 사이버공격자들의 영향을 가장 많이 받은 산업군은 제조업이며, 금융 서비스와 미디어, 엔터테인트먼트 산업이 그 뒤를 이었다고 밝혔다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
