[데이터넷] 챗GPT가 연일 IT 분야의 화두에 오르고 있는 가운데 사이버 보안 분야에서는 챗GPT를 이용한 자동화되고 지능화된 공격도구 생성과 유포에 대한 경고가 잇따르고 있다. 지하시장에서는 이미 챗GPT를 이용한 공격사례가 공유되고 있으며, 이 시도가 IT를 넘어 OT/IoT까지 확장돼 대규모 공격으로 이어질 것이라는 예측도 나오고 있다.

노조미 네트웍스는 2023년 예상되는 위협으로 악의적 목적으로 사용되는 ‘AI 기반 챗봇’을 꼽으며 “AI 챗봇이 정교해지면서 악의적인 위협 행위자가 이를 사용해 악성코드를 작성하거나 취약성에 대한 익스플로잇을 개발할 수 있다. 더 설득력 있고 문법적으로 정확한 피싱과 사회공학 기법 공격을 생성하는데 오용될 수 있다. 이로써 공격자는 표적위협 캠페인을 개발하는데 걸리는 시간을 줄여 사이버 공격 빈도를 높일 수 있다”고 경고했다.

데이터 파괴 집중하는 핵티비스트

이러한 전망은 노조미 네트웍스 랩에서 발표한 ‘2022년 하반기 OT/IoT 보안 보고서: ICS 위협 환경에 대한 심층 조사’에서 언급한 것으로, 이 보고서는 지난`해 하반기 철도, 병원, 에너지, 제조 등 중요 인프라에 대한 공격이 지속됐으며, 특히 의료시설을 노리는 공격이 크게 증가해 심각한 위협이 되고 있다고 설명했다.

지난해 10월 미국에서 4번째로 큰 의료기관 커먼 스피리트 헬스(CommonSpiritHealth)가 랜섬웨어 피해를 입었으며, 12월에는 유럽 전역의 병원이 랜섬웨어 공격을 당했다. 의료기관은 공격자의 수익을 높일 수 있는 민감한 데이터가 다량 저장돼 있으며, 의료기관은 예산이 제한돼 있으며 보안보다 환자의 치료를 더 우선시하기 때문에 공격자의 침투가 이어진다.

철도 등 운송 시스템을 노리는 공격도 점점 더 빈번해지고 있다. 지난해 11월 자동차·철도 기술 기업 콘티넨탈에 기술문서와 소스코드에 공격자가 접근한 사고가 알려지기도 했다. 공격자들이 소스코드를 훔치면 코드 취약성을 파악해 침투하거나 다크웹이나 경쟁사에 판매하고, 훔친 코드를 공개하겠다고 협박하는 일도 일어날 수 있다.

노조미 네트웍스는 수처리 시설과 철도·교통 시스템에서 연이어 일어나는 공격에 주의해야 한다고 경고한다. 지난해 9월 핵티비스트들이 다양한 용수 시스템과 연결된 공개적으로 액세스할 수 있는 여러 PLC를 해킹한 사고가 발견됐다.

핵티비스트는 해킹을 통해 자신들의 주장을 널리 알리기 위해 해킹사고를 저지르며, 데이터 유출과 파괴, 디도스 공격 등을 저지른다. 지난해 6월 이란의 철강회사는 핵티비스트의 데이터 파괴 악성코드 공격을 받아 운영 중단을 겪기도 했는데, 이 때 사용된 와이퍼 악성코드는 초보 수준의 공격자도 이용할 수 있도록 제작돼 다크웹에서 판매하는 것이다.

여러 목적으로 공격하는 사이버 범죄자

보고서에서는 지난해 하반기 중 7월과 10월, 11월에 공격이 급증, 5000회 이상 발생했으며, 상위 공격자 IP는 중국, 미국, 한국, 대만과 연결돼 있었다. ‘루트’, ‘관리자’ 자격 증명은 공격자가 네트워크에서 초기 액세스 권한을 얻고 권한을 상승시키는 방법으로 가장 자주 사용되고 있으며, 제조업과 에너지 분야가 위협에 가장 취약한 산업이며, 상하수도, 의료 및 운송 시스템이 그 뒤를 이었다.

또한 러시아-우크라이나 전쟁이 위협 환경에 상당한 영향을 미쳤으며, 핵티비스트들이 이 전쟁과 관련, 정치적 입장을 강화하기 위해 중요 인프라를 대상으로 데이터 탈취 공격을 펼치고 있다고 설명했다. 공격에 가장 많이 악용된 것은 취약한 일반 텍스트 암호와 취약한 비밀번호였다. 엔터프라이즈 IT를 타깃으로 탐지되는 가장 일반적인 멀웨어는 트로이목마, OT 대상 멀웨어는 원격 액세스 도구(RAT), IoT 기기는 디도스 멀웨어가 다수를 차지했다.

이 기간 동안 미국 사이버 보안 및 인프라 보안국(CISA)는 218개의 CVE를 발표했는데, 이는 상반기보다 61% 감소한 수치로, 70개 공급업체가 영향을 받는 것이다.

양자암호 위험성 한층 고조

보고서는 올해 훨씬 더 진화한 공격이 등장할 것이라고 예측하며, 공격자들은 금전적인 목적과 정치적인 목적, 특정 국가의 후원을 받는 공격을 병행하면서 대응을 더 어렵게 할 것이라고 예상했다. 이전의 보안 대응은 범죄조직을 특정해 공격 목표와 방식을 구분했는데, 이제는 예측 어려운 하이브리드 전술을 사용하기 때문에 기존 방식으로 보호하기 어렵다.

그리고 양자암호의 위험성이 한층 고조되면서 ‘지금 저장하고 나중에 암호 해독(SNDL)’하려는 공격자들의 데이터 탈취 시도가 더욱 늘어날 것으로 예상된다. CISA는 공격자들이 지금 훔친 암호화 데이터를 나중에 양자암호해독 기술로 복호화 해 공격하는 것을 불이기 위해 지금 데이터를 보호하는데 도움이 되는 지침을 공개하기도 했다.

의료산업은 올해 매우 위험한 표적공격이 발생할 가능성이 높다. 의료기기 악용 스캐너를 사용해 공개된 취약점이 있는 시스템을 공격할 뿐 아니라 광범위한 분석과 모니터링을 위해 장치데이터를 집계하는데 사용되는 의료시스템에 액세스 할 수 있다. 이로써 약물의 자동방출에서 오작동, 오독 또는 과다복용으로 이어질 수 있다.

더불어 사이버 보안 보험의 보장을 받기 어려워 질 수 있어 비즈니스 피해를 키우게 될 것으로 보인다. 범죄죄자들은 보안 청구 정책에 대해 정찰을 수행하고, 보험지급액에 맞게 몸값 요청을 조정한다. 그래서 보험료가 크게 오르거나 사이버 보험 자원이 고갈돼 보험금 지급이 어려워질 수 있다.

노조미 네트웍스는 이러한 위협으로부터 중요 시설을 보호하기 위해 네트워크 세그멘테이션을 권고했다. OT 시설은 대부분 단일 네트워크로 운영되며, 한 번 침입한 공격자를 완전히 제거하지 못한다. 네트워크를 잘게 쪼개 접근통제를 강화하면 일부 네트워크가 침입을 당한다 해도 다른 네트워크까지 확장되지 못하게 하고, 공격 속도를 낮출 수 있다.

이와 함께 전체 자산을 식별하고 취약성을 관리하며, 패치 적용과 로깅, 엔드포인트 탐지, 위협 인텔리전스도 필요하다.

로야 고든(Roya Gordon) 노조미네트웍스 OT/IoT 보안 연구 에반젤리스트는 “지난 6개월간 사이버 공격이 크게 증가하여 운송에서 의료에 이르는 여러 산업에 큰 혼란을 초래했다”며 “특히 철도는 공격을 받아 철도 운영자와 자산을 보호하기 위해 고안된 조치를 시행하게 됐다. 사이버 위협이 고도화됨에 따라 기업들은 위협 행위자가 OT/IoT를 표적으로 삼는 방법을 파악하고, 위협 행위자로부터 중요 자산을 방어하는데 필요한 조치를 취해야 한다”고 말했다.

김선애 기자 다른기사 보기