공격자, AI 이용 새로운 TTP로 기존 탐지 시스템 우회
[데이터넷] QR코드가 크리덴셜 피싱과 멀웨어 배포를 위한도구가 되고 있다. 프루프포인트는 올해 QR코드를 이용한 스캠이 크게 늘어날 것으로 예상하며 사용자의 주의를 당부했다.
QR코드를 이용한 피싱이 새로운 것은 아니지만, 비대면 환경 확산과 함께 QR코드 사용이 늘어나면서 공격 빈도도 증가하고 있다. 현재 QR코드는 각종 서비스에서의 간편인증, 출입인증, 매뉴얼과 보고서 다운로드, 결제 등 다양한 분야에 사용하고 있다. QR코드에 악성링크를 삽입하면 기존 보안 솔루션의 탐지를 우회할 수 있다.
올해 우려되는 중요한 이슈 중 하나가 제로데이, 노데이 취약점 이용 공격이다. 웹메일 서버, 무브잇, 스크린 커넥트 등 다양한 취약점을 이용해 공격했다. 프루프포인트는 막대한 자금을 지원받는 공격자가 취약점을 적극적으로 찾아 악용할 것으로 내다봤다.
더불어 APT 공격 기법이 대대적으로 변하면서 기존 탐지·대응을 무력화하고 있다는 점도 지적했다. 프루프포인트는 트래픽 분산 시스템(TDS), URL 바로가기(.url), 확장 가능한 벡터 그래픽(.svg) 등을 악용하는 새로운 공격 방식을 탐지했다. 또 다크게이트 등 오래된 악성 소프트웨어도 다시 인기있는 페이로드도 등장하고 있다. 올해 공격자는 새로운 TTP를 통해 공격 성공률을 높일 것으로 보인다.
새로운 공격 방식은 AI로 인해 한층 더 고도화된다. 공격자는 AI를 TTP에 결합시키고 있으며, 피싱 메일·콘텐츠 제작, 피해자를 설득하는 논리 개발과 그럴듯한 문장 작성 등에 이용하고 있다. 공격자는 AI를 사용해 피해자와 친분을 쌓고 효과적으로 속이기 위한 환경을 조성하며, 빠르게 악성코드를 만들기도 한다.
진화하는 공격에 대응하기 위해서는 보안 조직에서 적극적으로 정보를 공유해야 한다. 악성 소프트웨어, TTP, 인프라 패킷 캡처(PCAP), 피싱 키트 등의 정보를 공유하고, 위협 리서치 블로그 역시 방대한 데이터에서 최신 통찰력을 공유하기 위한 인텔리전스가 필요하다.
프루프포인트보고서는 “위협 환경이 계속변화하고 새로운 위협, 악용 및 기술이 등장함에 따라 사이버 보안 커뮤니티는 계속해서 집단적으로 공유하고 적들로부터 방어하고 있다. 2024년에는 이러한 커뮤니티 사고방식이 그 어느 때보다 중요해질 것”이라고 강조했다.
