카스퍼스키, DLL 하이재킹 공격 2년 새 2배 증가 탐지

AI 기반 SIEM으로 탐지 효율성 대폭 향상

카스퍼스키가 지난 2년간 DLL 하이재킹(DLL Hijacking) 공격이 약 2배 증가했다고 27일 밝혔다.

DLL 하이재킹은 윈도 운영체제에서 프로그램을 실행할 때 불러오는 ‘동적 연결 라이브러리(DLL)‘를 악성 DLL로 바꿔치기해 공격하는 수법이다. 정보탈취형 악성코드(스틸러), 뱅킹 트로이목마 등 대규모 피해를 유발하는 악성코드 제작자뿐 아니라 지능형 지속 공격(APT) 그룹과 사이버 범죄 조직이 표적 공격에 자주 활용한다.

카스퍼스키는 2023부터 2025년까지 DLL 하이재킹과 DLL 사이드로딩 등 변형 공격 사례를 러시아, 아프리카, 한국 등 여러 지역에서 관찰했다고 설명했다. 이에 대응해 카스퍼스키는 ‘보안 정보 및 이벤트 관리(SIEM)‘ 플랫폼에 인공지능(AI) 기반 전용 서브시스템을 도입해 모든 로드된 라이브러리 정보를 지속적으로 분석하도록 기능을 강화했다.

카스퍼스키는 이 기능이 이미 성과를 냈으며, APT 그룹 ‘토디캣(ToddyCat)’의 공격 시도를 조기에 탐지·차단하는 데 성공해 피해를 예방했다고 밝혔다. 이번 시스템은 로드된 라이브러리의 행위와 맥락을 분석해 정상 프로세스가 가짜 DLL을 불러오는 징후를 식별한다.

카스퍼스키 AI 연구센터의 안나 피자코바 데이터사이언티스트는 “신뢰하는 프로그램이 가짜 라이브러리를 불러오도록 속이는 DLL 하이재킹 공격이 점차 늘고 있다”며 “탐지가 어려운 이 공격에서 AI는 중요한 역할을 한다. 고급 AI 보호 기술은 진화하는 위협에 대응하는 필수 요소”라고 말했다.

이효은 카스퍼스키 한국지사장은 “DLL 하이재킹이 최근 2년간 2배 이상 증가했다. 신뢰하는 프로그램을 악용하는 방식은 APT와 사이버 범죄 조직의 공통 도구가 됐다”며 “기업은 AI 기반 보호 기술을 도입해 핵심 시스템을 안전하게 지켜야 한다”고 강조했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network