[데이터넷] “AI를 이용한 선과 악의 전쟁이 시작됐다.”

스태판 트루베(Staffan Truve) 레코디드퓨처 CTO는 AI를 이용하는 공격에 대응하기 위해 AI가 필요하다고 강조하며 이렇게 말했다.

그는 “사이버 보안 분야에서 챗GPT의 위험성은 과장된 측면이 있다. 공격자는 지속적으로 AI를 이용해 공격을 자동화·지능화해왔다. 공격자는 AI를 이용해 더 광범위한 피해자에게 맞춤형 스피어피싱을 유포할 수 있다. 오픈소스 취약점을 찾아 공급망 공격을 벌일 수 있으며, 타깃 조직의 취약점을 찾아 침투할 수 있다. 챗GPT는 공격자가 이용할 수 있는 도구 중 하나일 뿐이다. 챗GPT로 인해 이전과 완전히 다른 TTP가 등장할 것이라고 보지는 않는다”고 말했다.

그는 “현재 공격 방식은 오랫동안 공격자들에게 높은 수익을 가져다준 것이며, 여전히 효과적으로 공격 목적을 달성할 수 있도록 하고 있다. 공격자들이 굳이 TTP에 변화를 줄 필요가 없을 것”이라고 덧붙였다.

사회공학 기법 이용해 중요 인프라도 공격

방어자 입장에서 공격자의 행위는 날이 갈수록 지능화되는 것으로 보인다. 이제 공격자는 악성코드를 이용하지 않고, 패치되지 않은 취약점, 유출된 계정, 관리 사각지대에 있는 공급망 파트너, 알려지지 않은 오픈소스 코드 취약점 등을 이용한다. 멀웨어 하나 없는 사회공학 기법의 이메일 하나만으로 거래대금을 탈취하고, 전문가의 의견을 구하는 취재 요청서로 위장해 고급 정보를 수집한다. 이 모든 과정을 AI를 이용해 자동화하고 대규모화한다.

사회 주요 인프라를 공격하는 방법도 유사하다. 콜로니얼 파이프라인 공격에서 볼 수 있듯, 사칭메일, 열려있는 VPN, 해킹된 모의해킹 도구를 이용해 침투하고, OT 네트워크로 이동해 중요 시스템을 파괴, 막대한 금전을 요구한다.

러시아가 우크라이나를 침공하기 전 대규모 디도스 공격을 단행하면서 정부와 금융기관의 중요 서비스를 중단시켰으며, 다양한 피싱 시도와 멀웨어로 네트워크를 교란시키고 핵심 인프라 파괴를 시도했다.

SNS 영향력 커지면서 가짜뉴스 이용 여론전 성행

러시아-우크라이나 전쟁 중 나타난 중요한 위협 중 하나가 여론조작으로 사회를 혼란하게 만드는 것이었다. 전쟁 초기 젤렌스키 대통령이 해외로 피신했다는 조작된 정보를 흘리는 등 뉴스와 SNS를 통해 조작된 정보를 유포시켜 우크라이나가 초기 대응을 추춤하게 했다.

트루베 CTO는 “최근 나타나는 가장 위험한 시도로 ‘여론조작’을 들 수 있다. 정치적, 재정적 목적으로 가짜뉴스를 퍼뜨리고, 상대국을 혼란하게 만들거나 주식시장을 교란시키는 것이다. 링크드인에 유명 그룹의 CEO 사칭 계정을 만들고 특정 기업 인수, 신기술 개발 등의 가짜 뉴스를 퍼뜨려 주가를 폭등시킬 수 있으며, 대규모 댓글부대를 조직해 특정 기업에 대한 나쁜 소식을 퍼뜨려 주가를 폭락시킬 수 있다. AI를 이용하면 이러한 조작을 자동화할 수 있다”고 지적했다.

트루베 CTO는 유럽에서 일어난 가짜뉴스 사례를 이야기했다. SNS에서 스웨덴에 대규모 폭력시위가 일어났다는 기사가 빠르게 공유됐다. 해당 기사는 러시아어로 작성돼 스웨덴어와 영어로 번역된 것으로, 정상적인 뉴스로 위장한 가짜뉴스였다.

딥페이크를 이용하면 가짜뉴스의 영향은 더 커질 수 있다. 얼마 전 트럼프 미국 대통령이 경찰에 끌려가는 사진이 공개되면서 큰 파장을 일으켰는데, AI로 만든 가짜사진이었다. 자세히 보면 가짜사진인 것을 알 수 있었지만, SNS에 공유되는 글이나 사진은 대부분 자세히 보지 않고 공유하기 때문에 가짜뉴스는 매우 빠르게 확산된 수 있다.

트루베 CTO는 “공격자들은 신뢰할 수 있는 언론사를 사칭하거나, 정상적으로 등록된 언론사를 매입하거나 혹은 새롭게 등록하면서 가짜뉴스를 생산한다. AI를 이용한 번역기를 이용해 전 세계 언어로 배포할 수 있기 때문에 언어 장벽 없이 조작된 여론을 형성할 수 있다. SNS의 영향력이 커지면서 여론 조작이 더 쉬워진 상황이다”라며 “러시아-우크라이나 전쟁에도 가짜뉴스를 이용해 상대국의 전의를 떨어뜨리려는 시도가 많이 있었다. 가짜뉴스는 앞으로 매우 중요하게 다뤄야 할 사이버 위협이 될 것”이라고 설명했다.

AI 이용 고도화된 CTI 필수

위협 행위자들은 공격 수익을 극대화 할 수 있는 중요 인프라를 집중적으로 노린다. 최근 인도의 한 발전소에서 파괴형 멀웨어가 발견됐는데, 유사시 전력망을 파괴하기 위해 수 년 전 유포시킨 것으로 확인됐다. 이러한 시도가 우리나라 중요 발전소와 교통·전력망 등에 잠입해있지 않다는 보장은 없다. 그리고 잠입해 있는 멀웨어는 실제로 행동을 시작해 피해를 일으키지 않으면 확인할 수도 없다.

그래서 AI를 이용해 한층 더 고도화된 사이버 위협 인텔리전스(CTI)가 필요하다고 트루베 CTO는 강조한다. 기존의 CTI는 센서 데이터를 이용해 위협 피드를 생성하는 방식인데, 컨텍스트가 부족해 위협 피드만으로 보안조직이 무엇을 어떻게 해야하는지 알 수 없고 경고피로를 높였다. 고급 보안 분석가의 분석결과 보고서도 제공하지만, 이는 이미 완료된 위협을 분석한 것으로, 현재와 미래 위협에 대응하기에는 부족하다.

레코디드퓨처는 인터넷 전체에서 데이터를 수집하고 디지털 트윈을 만들어 AI를 이용해 분석, 현재 진행중인 위협 정보를 제공한다. 이를 API 등을 이용해 기존 보안 솔루션과 연결시켜 자동으로 조치할 수 있게 하거나 위협 우선순위를 알려줘 보안조직의 대응을 효율화한다.

가짜 도메인을 탐지해 정교하게 제작된 스피어피싱도 식별하며, 감정을 분석할 수 있는 기능까지 갖춘 자연어 처리 모델로 이벤트에 대한 사람들의 감성까지 분석할 수 있다. 거의 대부분의 위협 이벤트를 AI를 이용해 자동으로 식별, 대응해 전 세계에서 발생하는 위협을 정확하게 파악하고, 즉시 활용 가능한 정보를 제공한다.

한국 사이버 안보 위해 적극 협력할 것

최근 CTI는 세계 각국 정부에서 추진하는 개인정보보호규제로 인해 정보 수집과 대응에 제약을 받고 있다. 예를 들어 다크웹에서 판매중인 개인정보를 분석해 고객에게 알려주고자 할 때, CTI 기업이 이 데이터를 직접 가져와서 수집했을 때 개인정보보호법 위반이 소지가 있을 수 있다. 수집된 위협정보에 개인정보나 민감정보가 있을 때 해당 정보가 국경을 넘어가서는 안된다는 규제가 있다면, 해당 국가 내에서만 분석 가능하기 때문에 글로벌 위협 동향을 정확하게 파악하지 못할 수 있다.

트루베 CTO는 “레코디드퓨처는 범죄자들이 모이는 포럼에서 범죄를 모의하는 것을 수집해 분석하며, 이는 프라이버시 침해에 해당하지 않는다. 레코디드퓨처는 사생활, 개인정보가 아니라 이벤트에 초점을 맞추고 있으며, 컴플라이언스를 지키면서 위협 정보를 수집할 수 있다. 그러나 유출된 크리덴셜을 분석하는 과정에서는 개인정보 보호 규제에 영향을 받을 수 있다는 우려가 있으며, 이는 각국정부와 협력하면서 진행한다. 우리는 사이버 범죄로부터 세계 시민들을 보호하기 위해 모든 노력을 다하고 있다”고 말했다.

그는 이어 “한국은 지정학적으로 매우 중요한 국가이며, 공격이 집중되는 글로벌 기업도 다수 있으며, 글로벌 공급망 측면에서도 핵심적인 역할을 담당하고 있다. 한국의 기업·기관과 시민을 보호하는 것은 글로벌 사이버 보안에서 매우 중요한 일이라고 생각한다. 레코디드퓨처는 한국 정부 및 유관기관, 기업들과 함께 안전한 세상을 만들기 위해 노력하겠다”고 밝혔다.