[데이터넷] 오는 4월 제22대 국회의원 선거를 앞두고 국가배후 공격자, 핵티비스트, 특정 정치집단이 배후에 있는 사이버 범죄 활동이 우려되는 가운데, 11월 대통령선거를 앞두고 있는 미국에서도 정치적인 목적의 활동 혹은 연관된 공격으로 진화할 수 있는 침투 시도가 잇달아 발견되고 있다.

구글 클라우드의 ‘2024년 사이버 보안 전망’에서는 ‘미국 선거를 표적으로 한 사이버 활동’을 경계해야 한다고 강조하면서 정부 후원을 받는 공격 집단을 포함한 여러 공격자가 다양한 사이버 활동을 펼칠 것으로 예측했다. 특히 선거 시스템을 표적으로 한 첩보활동, 영향력 조작, 후보자를 사칭하는 소셜 미디어 활동, 유권자를 대상으로 한 정보 작전 등으로 나타날 것으로 보인다.

이러한 활동은 선거 후에도 계속 이어질 것이다. 행정부 교체 시기에 의사 결정의 우위를 차지하기 위해 미국 정부를 대상으로 중국, 러시아, 이란 등 국가 차원의 스피어피싱 등의 공격이 늘어날 것으로 예측된다. 또한 규모와 작전 속도를 높이는 데 생성형 AI 도구가 활용돼 2024년에는 이러한 캠페인이 더욱 만연할 수 있다.

LLM으로 개선되는 공격용 생성형 AI

공격자는 생성형 AI 프롬프트만 있으면 가짜 뉴스, 수신자와 활발하게 소통할 수 있는 허위 전화, AI가 생성한 가짜 콘텐츠를 기반으로 한 딥페이크 사진과 동영상을 얼마든지 만들 수 있다. 이러한 정보 작전은 점차 주류 뉴스로 침투하게 되고, 특유의 확장성으로 인해 뉴스와 온라인상 정보에 대한 대중의 신뢰도 떨어져 모든 사람이 자신이 접하는 정보를 회의적으로 바라보거나 더 이상 신뢰하지 않게 될 수 있다.

특히 공격자의 AI 기술이 점점 더 발전해 AI가 생성한 이메일과 문서, 음성, 동영상에서 부자연스럽고 문화와 문맥에 맞지 않는 것이 빠르게 개선되고 있어 정보작전 대응이 더 어려워질 것으로 보인다. 공격자가 피해자의 이름, 조직, 직책, 부서, 건강 데이터에 접근할 수 있으면 개인적이고 설득력 맞춤형 이메일로 수많은 대중을 공격할 수 있으며, 여론을 조작하고 사회를 혼란하게 할 수 있다.

나아가 LLM과 생성형 AI 도구를 이용해 공격자의 타깃 공격을 지원하는 서비스로 제공될 것으로 보인다. 이러한 서비스는 유료 서비스로 언더그라운드 포럼에서 제공되고 피싱 캠페인과 허위 정보 확산 등 다양한 목적으로 사용될 것이다. 이미 사이버 범죄에 사용되고 있는 랜섬웨어를 비롯해 다른 언더그라운드 서비스를 제품 형태로 성공적으로 제공한 사례가 확인됐다.

구글 클라우드는 생성형 AI 기술이 정보작전의 침투 과정을 강화해 메타스플로잇, 코발트 스트라이크 등 취약점 탐색 공격 프레임워크와 유사한 리소스와 역량을 제공할 것으로 예상했다. 이미 공격자는 이미 생성형 AI를 실험하고 있으며 시간이 지남에 따라 이러한 도구를 더 많이 사용할 것으로 예측된다.

핵티비스트, 물리적 피해 일으켜

장기전으로 돌입한 러시아-우크라이나 전쟁, 하바스-이스라엘 전쟁을 두고 디도스, 데이터 유출, 변조 핵티비스트의 활동도 급증하고 있다. 맨디언트 인텔리전스는 이러한 공격을 벌이는 핵티비스트들이 특정 국가와 조직을 지지하는 활동을 벌이고 있다고 판단하고 있다. 구체적으로 어떤 국가가 배후에 있는지 확인되지 않았지만, 러시아와 이란 소속 단체들이 핵티비스트를 가장해 활동한 전력이 있다는 점에 주목하고 있다.

이러한 전술은 물리적 피해로까지 확대될 수 있다. 우크라이나를 침공하기 전 러시아 APT 조직이 우크라이나 중요 기관에 디도스 공격을 전개하면서 데이터를 파괴하는 ‘와이퍼 멀웨어’를 배포했다. 이 전략을 다른 나라에서도 모방하고 있는데, 특히 중국-대만 갈등을 비롯한 글로벌 안보 위기가 고조되고 있어 심각한 피해가 예상된다. 공격자는 전략적으로 중요한 표적에 혼란을 일으키는 와이퍼 멀웨어를 사전에 배치해 액세스 할 것이다.

사이버 위협 활동을 가장 활발하게 벌이고 있는 러시아의 경우 올해도 우크라이나를 타깃으로 하는 정보수집, 혼란을 일으키는 와해성 공격을 펼치는 한편 다른 나라 정부, 국방, 시민 사회, 비영리, 에너지 관련 기구를 표적으로 전략정보 수집을 위한 첩보 작전을 펼칠 것으로 보인다.

러시아에 대한 제재 조치로 인해 러시아 기술과 군사 혁신에 계속 타격을 줄 것이며, 러시아는 지식재산을 훔쳐 분야별 전문성을 높이고자 할 것인데, 이는 중국의 지식재산 탈취 사례를 모델로 한 것이다.

목표 조직에 장기간 머무를 수 있는 제로데이 취약점

사이버 범죄 활동은 공격자가 목표 조직에 최대한 오랫동안 머무를 수 있는 제로데이 취약점 공격에 집중하고 있다. 보안팀과 보안 솔루션이 악성 피싱 이메일과 멀웨어를 식별하는 능력이 개선됐기 때문에 공격자는 탐지를 피하기 위한 엣지 기기와 가상화 소프트웨어를 이용한 은닉 전술을 펼치고 있다. 사이버 범죄자들은 제로데이 취약점을 사용한 랜섬웨어 갈취로 높은 수익을 낼 수 있다.

소프트웨어 패키지 관리자를 이용하는 공급망 공격도 공격자의 강력한 무기가 된다. 악성 패키지를 이용해 개발자의 소스코드에 공격자가 액세스해 백도어를 추가하는 간단한 방식으로 큰 영향을 미칠 수 있다. 공격자는 파이썬 PyPI, 러스트 crates.io 등 비교적 경계가 느슨한 다른 패키지 관리자로 전환하고 있어 각별한 주의가 요구된다.

보안 탐지를 우회하기 위한 하이브리드·멀티 클라우드를 표적으로 한 공격도 늘어날 것으로 보인다. 공격자는 클라우드 환경을 표적으로 삼아 지속성을 확보하고 횡 방향으로 이동하는 방법을 찾고 있다. VM웨어 게스트 가상 머신(VM)에서 공격자가 코드를 실행할 수 있도록 허용하는 제로데이 취약점 공격이 대표적인 사례다.

올해는 이러한 기술이 클라우드 환경의 경계를 넘어 더욱 발전할 것으로 보인다. 공격자는 잘못된 설정과 ID 문제의 취약점을 공격해 다양한 클라우드 환경 내부에서 횡 방향으로의 이동을 시도할 것이다.

서버리스 서비스도 공격벡터로 사용되고 있다. 지난해 서버리스 인프라에서 크립토마이너 배포 횟수가 증가하는 것이 확인됐는데, 올해는 사이버 범죄자와 국가 기반 사이버 공격자들이 클라우드 내 서버리스 기술을 더 적극적으로 활용할 것으로 예측된다. 확장성과 유연성이 높고 자동화된 도구로 배포할 수 있다는 장점 때문에 공격자가 서버리스로 전환하고 있다.

보고서는 “새로운 기술이 보안팀에 도움이 될 수도 있지만 공격 표면을 확장하는 역할을 할 수도 있다. 빠르게 진화하는 생성형 AI의 세상이 공격자에게 설득력 있는 피싱 캠페인과 정보 작전을 대대적으로 전개할 수 있는 새로운 방법을 제공할 것으로 예상된다. 하지만 방어자 또한 동일한 기술을 사용해 공격자에 대한 탐지, 대응, 추적을 강화하고, 더 나아가 반복 업무를 줄이고 위협 과부하를 해결하며 확대되는 기술 격차를 해소할 것”이라고 내다봤다.

김선애 기자 다른기사 보기