중요 인프라 공격에도 사용되는 공급망 공격…제로 트러스트 보안 이행 필요
[데이터넷] ‘강대 강의 싸움’.
AI를 활용한 사이버 범죄자와 보안의 대결을 체크포인트는 이렇게 설명했다. 사이버 범죄자들이 AI/ML을 이용해 지능적인 타깃 공격을 펼치고 있지만, 사이버 방어자들도 보안에 이를 적용해 대응하고 있다. 체크포인트는 사이버 보안을 위해 AI에 상당히 투자했으며, 많은 기업이 지능형 위협에 대비하기 위해 투자를 지속할 것이라며 AI 보안 기술은 한층 더 고도화될 것이라고 설명했다.
체크포인트의 위협 인텔리전스 조직 체크포인트 리서치(CPR)가 21일 발표한 ‘2024년 사이버 보안 예측’ 보고서에서 ▲AI와 머신러닝 ▲GPU 파밍 ▲공급망과 중요 인프라 공격 ▲사이버 보험 ▲무기화된 딥페이크 기술 ▲피싱 공격 등 6가지 범주에서 발생할 수 있는 사이버 위협을 예측했다.
생성형 AI 위한 GPU 파밍 공격 발생할 것
보고서에서는 사이버 공격을 AI가 주도하고 있다고 진단하면서, 내년에는 공격용 툴킷의 모든 측면을 가속화하고 확장하기 위해 AI를 채택하는 위협 활동이 더 늘어날 것으로 예측했다. 공격자는 새로운 멀웨어와 랜섬웨어 변종을 비용 효율적으로 신속하게 활용하기 위해, 딥페이크 기술을 사용해 피싱·사칭 공격을 한 단계 더 발전시키기 위해 AI를 사용하고 있다. 그런데 사이버 보안에서도 AI에 많은 투자를 단행하면서 방어하고 있어 공격과 방어 기술이 강하게 맞붙을 것으로 예상된다.
AI와 관련한 정부의 규제도 주목해야 할 부분이다. 유럽과 미국에서 AI 사용 규제를 강화하고 있으며, 공격·방어 활동 모두에서 이러한 기술이 사용되는 방식에 변화가 일어나게 될 것으로 보인다.
올해 가장 주목받은 생성형AI는 공격자도 사용하고 있다. 그런데 공격을 위한 생성형AI를 위해서는 막대한 클라우드 리소스가 필요하며, 공격자가 이에 투자하려면 공격을 통한 수익을 내지 못한다. 그래서 공격자들은 GPU 파밍 공격을 통해 리소스를 무단 사용할 것으로 예상된다. 공격자들은 클라우드 리소스에서 무단으로 암호화폐 채굴을 해왔으며, 내년에는 GPU 파밍으로 AI를 위한 리소스를 마련하고, 이를 서비스하면서 수익을 낼 것으로 보인다.
딥페이크도 사용 가능한 무기가 되고 있다. 특히 주가조작 등 시장을 교란시키기 위한 콘텐츠 제작에 딥페이크가 사용된다. 이러한 도구는 온라인에서 쉽게 사용할 수 있다.위협 행위자는 권한 획득과 중요한 데이터에 액세스하기 위해 딥 페이크 소셜 엔지니어링 공격을 지속할 것이다.
핵티비스트 활동 목적도 ‘돈’
공급망 공격과 중요 인프라 공격은 내년에 한층 더 고도화될 것으로 보인다. 3CX 공급망 공격과 같이 여러 단계 공격으로 침해 범위를 넓힐 수 있으며, 중요 인프라 타깃 공격도 취약한 공급망을 이용할 것으로 보인다. 특히 기관들이 써드파티 공급업체에 대한 엄격한 평가를 시행하지 않을 경우 내년에도 이 같은 추세는 지속될 것으로 예상된다.
최근 침해사고를 분석해보면 공급망에서 강력한 보안 프로토콜이 필요하다는 것을 알 수 있다. 사이버 범죄자들은 더 큰 회사에 접근하기 위해 소규모 다운라인 공급업체들을 표적으로 삼기 때문에, 기관은 보안 프로토콜에 대한 보다 엄격한 평가와 이행을 요구해야 한다.
더불어 국가 주요 인프라에도 제로 트러스트 모델을 적용해 네트워크 내부 또는 외부와 관계없이 시스템에 연결하려는 모든 시도를 검증해야 한다. 조직은 정부가 개인 정보 보호를 위해 더 엄격한 사이버 보안 규정을 도입함에 따라, 새로운 법적 프레임워크보다 앞지르는 것이 필수가 될 것으로 보인다.
이러한 공격은 국가기반 범죄 조직과 핵티비스트들이 주도하고 있는데, 특히 러시아-우크라이나 전쟁과 같은 물리적인 전쟁과 병행되는 경우가 많다. 지정학적 불안정은 내년에도 계속될 것이며, 핵티비스트 활동은 교란과 파괴를 주요 목표로 하는 사이버 공격, 특히 DDoS 공격의 더 많은 부분을 차지할 것이다.
보고서는 핵티비스트의 활동 배경에 주의해야 한다는 분석도 내놨다. 핵티비스트들은 정치적인 목적으로 활동한다고 공개하고 있지만, 진짜 속셈은 ‘돈’에 있을 수 있다. 위협 행위자들은 다른 활동 자금 조달을 위해 랜섬웨어 공격을 펼치고 있으며, 핵티비스트와 상업주의 공격자 사이의 경계가 모호해지고 있다.
사이버 보험, 보안 전략 전환 요구할 것
랜섬웨어는 첨단 공격 무기와 전략·전술의 향연장이 될 것으로 보인다. 랜섬웨어 공격자들은 AI를 이용한 지능적인 사회공학 기법, 적법한 시스템 도구를 이용하는 리빙 오프 더 랜드(LotL), 백업 시스템 파괴와 데이터 유출 및 공개 협박, 위협에 대한 과장으로 더 높은 몸값 요구 등으로 진화하고 있다.
그런데 조직이 랜섬웨어 방어를 아무리 강화한다 해도 데이터 유출과 공개 협박의 위협으로부터 완전히 자유로울 수 없다. 특히 SaaS 의존도가 높아지면서 악의적인 단체가 악용할 수 있는 새로운 벡터와 취약점을 악용한 침해 시도를 막기가 매우 어려워지며, 애플리케이션에 분산된 데이터를 보호하는 것도 어렵다.
공격에 사용되는 피싱도 한층 더 진화한다. 공격자는 침입하는 대신 로그인하면서 더 쉽게 공격을 진행한다. 로그인 계정 탈취를 위한 피싱은 AI를 이용해 개인화하고 있어 악의적인 의도를 식별하기 어려워지고 있다.
공격이 진화하면서 사이버 보험도 사이버 복원력 평가 방법 변화를 요구할 것으로 보인다. AI만으로 모든 보안 과제를 해결할 수 있는 것이 아니기 때문에 보안과 편리함의 균형을 맞추는 것이 중요하다. 또 조직은 사이버 비용 증가, 인력 부족에 대응하기 위해 효과적인 방어 보안으로 전환하며, 보험료 절감을 위한 노력을 진행할 것이다.
보고서에서는 “올해 여러 차례의 대규모 공격이 발생했으며, 사이버 공격 방법과 도구가 진화하고 있다는 것을 분명히 보여줬다. 따라서 기업들은 자체 보안 프로토콜 우선순위를 정해야하며, 서드파티 공급업체의 보안 관행도 면밀히 조사해야 한다. AI가 강화된 사이버 공격, 제로 트러스트 모델 및 딥페이크 기술의 부상으로, 협력적이고 포괄적이며 통합된 사이버 보안 솔루션에 투자하는 것이 그 어느 때보다 중요해졌다”며 “확장되는 공격 벡터 앞에서 경계하고, 민첩하게 행동해야 하며, 사이버 위협에 대한 효과적인 방어책을 만들기 위해 함께 노력해야 한다”고 강조했다.
