AI 악용 공격으로 보안 우회하면서 지능적으로 사용자 속여
[데이터넷] 랜섬웨어가 조직적인 범죄로 진화하고 있다. 공격자 수익률을 높이기 위해 더 쉬운 방법으로 공격하고, 피해 조직이 돈을 주지 않을 수 없도록 지능적이고 집요하게 협박 수위를 올리고 있다. 악질적인 사이버 기업 범죄로 발전하는 랜섬웨어 공격 동향을 살펴보고, 현실적인 방어 방법을 알아본다.<편집자>
랜섬웨어 53%, 홈페이지·서버 취약점 악용
백업은 랜섬웨어 공격이 일어난 후 빠르게 비즈니스를 복구하는데 초점을 맞추고 있는데, 가장 이상적인 랜섬웨어 대응은 공격 자체가 시작되지 않도록 하는 것이다. 따라서 기본적인 보안 수칙을 잘 정립하고, 사이버 면역 시스템이 작동할 수 있도록 보안 전략을 운영하는 것을 최우선 과제로 해야 한다.
가장 흔하게 발생하는 랜섬웨어는 인터넷에 공개된 홈페이지, 서버의 취약점을 이용하는 것이다. KISA 조사에 따르면 지난해 상반기 발생한 랜섬웨어의 53%가 이 방법으로 공격을 당했다. 공격자는 홈페이지 취약점을 이용해 악성코드를 업로드하고 홈페이지 서버를 장악했다. 서버에서 관리자 계정을 수집하고 다른 서버를 검색해 관리자 계정을 대입해 접속을 시도했다. 접속되는 서버에 랜섬웨어를 설치, 실행했다.
전체 사고 중 27%를 차지하는 중앙관리 솔루션 악용 공격의 경우, 단말기와 중앙관리 솔루션을 반복적으로 감염시켜 사고 조치를 어렵게 한다. 공격자는 인터넷에 노출된 중앙관리 솔루션 중 패치되지 않은 시스템을 대상으로 취약점 공격을 수행하고 악성코드를 설치한다. 그리고 솔루션의 파일 배포·실행 기능을 사용해 랜섬웨어를 유포한다.
공격을 차단하기 위해 중앙관리 솔루션을 격리하고 악성코드를 제거한 후 연결하면, PC에 숨어있던 악성코드가 다시 중앙관리 솔루션을 감염시키고 연결된 PC까지 재감염시키는 일이 반복된다. 중앙관리 솔루션과 연결된 모든 기기를 일시에 격리하고 조치하지 않으면 공격을 차단하지 못한다.
버그바운티 운영하는 랜섬웨어
상기 언급한 두 사례 모두 취약점을 악용한 것이다. 취약점 대응은 기본 중의 기본이지만 잘 지켜지지 않는다. 취약점이 공개되면 패치가 배포되고 패치가 없거나 패치하기 어려운 상황이라면 취약점의 영향을 받는 파일에 대한 조치방법이 안내된다. 그러나 기업·기관은 이러한 조치가 운영중인 시스템에 영향을 미칠 것을 우려해서, 취약점이 공개됐다는 사실을 알지 못해서, 혹은 어떤 시스템이 취약점에 영향을 받는지 몰라서 조치를 취하지 않는다.
아카마이 조사에 따르면 공격자들이 피싱보다 취약성 익스플로잇에 더 집중하고 있는 것으로 나타났다. 피싱은 타깃 맞춤형 메일과 악성문서를 제작하는 수고를 해야 하지만, 취약점 공격은 인터넷에 공개된 서버와 애플리케이션에서 패치되지 않은 취약점을 이용하기 때문에 더 쉽게 공격에 성공할 수 있다는 설명이다. 랜섬웨어 그룹은 자신이 개발한 랜섬웨어에 대한 버그바운티 프로그램을 이용하거나 해커를 고용해 취약점을 찾기도 한다.
취약점 공격은 다양한 공급망 공격에 사용된다. CI/CD 파이프라인에 침투해 취약점을 심은 소프트웨어를 배포하도록 하거나, 깃허브에서 취약점이 있는 라이브러리를 유명 라이브러리인 것처럼 위장해 업로드해 유포한다.
공급망 공격 중 소프트웨어 기업의 서명을 탈취하는 사례가 자주 발생한다. 지난해 마이크로소프트에서 탈취된 서명이 악성 드라이버 유포에 사용돼 큰 문제가 됐으며, 가장 빠른 암호화 속도를 자랑하는 로르샤흐 랜섬웨어의 경우 상용 보안 소프트웨어 서명을 이용해 유포되고 있다.
설정오류 역시 랜섬웨어 공격자들이 좋아하는 것이다. 레드햇 조사에서는 IT 의사결정권자 41%가 구성오류로 인한 랜섬웨어를 우려하고 있는데, 실제로 50%는 지난 12개월 내 랜섬웨어 공격을 당했으며, 46%는 구성오류로 데이터가 삭제되는 사고를 겪었다고 밝혔다.
더욱 위험해지는 AI 이용 공격
랜섬웨어의 목적은 대부분 ‘돈’이기 때문에 처음 침투 후 공격을 개시하기까지 오래 기다리지 않는다. 트렌드마이크로가 조사한 랜섬웨어 피해 사례를 분석하면, 평균 6.3일만에 공격이 시작됐다. 그리고 AI를 이용해 더 빠르게, 더 많은 조직을 상대로 공격하고 있으며, 최근에는 생성형 AI를 활용하는 공격 방식도 지하시장에서 공유되고 있다.
김기훈 빔 소프트웨어 한국 지사장은 “생성형 AI를 이용하면 사회 공학 기법을 이용한 정교한 사이버 공격이 가능하다. 범죄자들이 타깃 기업의 직원을 속이기 위한 매력적인 콘텐츠를 빠르고 효과적으로 생성할 수 있게 되면, 잠재적인 랜섬웨어 공격을 탐지하기가 더욱 어려워질 것”이라고 지적했다.
딥페이크, 딥보이스를 이용한 공격도 우려되는 부분이다. 공격자들은 AI를 이용해 신뢰할 수 있는 사람의 영상이나 음성을 만들어 사기행위를 벌이고 있다.
릭 맥일로이(Rick McElroy) VM웨어 수석 사이버 보안 전략가는 “사이버 범죄자들은 보안 통제를 피하기 위해 공격 방법에 딥페이크를 통합하고 있다”며 “VM웨어 조사에서 응답자 3명 중 2명은 악의적인 딥페이크가 공격의 일부로 사용되는 것을 확인했으며, 이는 작년보다 13% 증가한 수치다. 특히 이메일이 가장 중요한 수단이다. 사이버 범죄자들은 단순히 영향력 행사나 허위 정보 캠페인을 위해 합성 비디오와 오디오를 사용하는 것을 넘어 발전해 왔다. 그들의 새로운 목표는 딥페이크 기술을 사용하여 조직을 손상시키고 환경에 액세스한다”고 설명했다.
