[데이터넷] 지난해 유효한 자격증명을 사용해 로그인한 공격이 전년대비 71% 증가했다. IBM의 ‘2024 엑스포스 위협 인텔리전스 인덱스 보고서’에 따르면 공격자는 해킹이 아니라 정상적인 계정정보를 이용해 접속하며, 이 정보는 다크웹에서 쉽게 구입할 수 있다.

보고서에서는 다크 웹에 수십억 개의 유출된 인증정보가 유통되고 있으며, 계정수집을 위한 인포스틸링(infostealing) 멀웨어가 266% 증가했다고 밝혔다. 공격자는 계정탈취 멀웨어 뿐만 아니라 이메일, 소셜 미디어, 메시징 앱 등을 이용해 인증정보, 은행 정보, 암호화폐 지갑 데이터 등을 탈취한다. 공격자들은 사용자 신원 호가보를 위해 더 많은 투자를 단행하고 있다.

공격자의 이 시도는 탐지하기가 매우 어렵다. 엑스포스에 따르면 유효한 계정을 사용한 침해 사고는 일반적인 침해 사고보다 보안 팀의 대응 조치가 약 2배 더 복잡하다. IBM이 지난해 발간한 ‘2023 데이터 유출 비용 연구 보고서’에 따르면 탈취되거나 유출된 인증정보로 인한 침해 사고를 탐지하고 복구하는 데 약 11개월이 소요되어 침해 사고 중 대응 주기가 가장 긴 것으로 나타났다. 이는 곧 기업의 대응 비용이 더욱 높아진다는 것을 의미한다.

다크웹 GPT 관련 게시물 80만개 이상

생성형AI로 인해 신원 기반 위협은 더 높아질 것으로 보인다. 이미 2023년에 다크 웹 포럼에서 AI와 GPT에 관한 80만 개 이상의 게시물이 관찰됐고 이러한 신기술이 사이버 공격자들의 관심을 끌고 있다는 점이 확인되었다.

생성형AI를 이용한 공격은 아직 투자수익률이 높지 않지만, 공격자는 AI를 침해하는 시도는 계속 이어질 것으로 보인다. 엑스포스는 단일 기술이 시장 점유율 50%에 근접하거나 시장이 3개 이하 기술로 통합되는 등 특정 생성형 AI의 시장 지배력이 확립되면 새로운 툴에 대한 사이버 공격자들이 본격적으로 투자를 단행할 것으로 예상했다.

따라서 기업·기관은 사이버 공격자가 공격 활동을 확대하기 전에 AI 모델을 보호해야 한다고 강조했다. 기존에 구축돼 있는 기본 인프라에 대한 공격은 새로운 방식이 개발될 필요가 없기 때문에, 기본 인프라가 AI 모델에 대한 공격의 관문으로 작용할 수 있기 때문이다. 이에 생성형 AI 시대에는 보안에 대한 총체적인 접근 방식이 필요하다.

엑스포스 대응 공격 70%, 주요 인프라 노려

한편 이 보고서에서는 엑스포스가 대응한 공격의 약 70%가 전 세계 주요 인프라에 대한 공격이라는 점도 강조했다. 핵심 인프라 조직은 시스템 가동 시간이 중요하기 때문에 공격자들이 표적으로 삼고 있다. 그런데 주요 인프라 부문에 대한 공격의 약 85%에서는 패치, 다중 인증 또는 최소 권한 원칙 등 보안 업계가 지금까지 '기본적인 수준의 보안'이라고 정의한 것만 지켜졌어도 피해를 완화할 수 있었던 것으로 파악됐다.

한국IBM 컨설팅 사이버보안 서비스 사업 총괄 및 최고운영책임자(COO)인 배수진 전무는 “‘보안 기본 원칙’은 ‘AI’ 키워드만큼 많은 관심을 받고 있지는 않지만, 아시아태평양 지역의 가장 큰 보안 과제는 패치되지 않은 알려진 취약점”이라며 “특히 신원은 계속해서 악용되고 있으며, 공격자들이 전술을 최적화하기 위해 AI와 같은 신무기를 사용하게 되면서 이 문제는 더욱 악화될 것이므로 기업들의 선제적인 대응 준비가 중요”하다고 강조했다.

이 보고서는 IBM 컨설팅 사이버 공격 및 방어 보안 서비스 부문인 엑스포스가 전 세계 130여 개국에서 매일 1500억 건 이상의 보안 이벤트를 모니터링해 얻은 인사이트와 관찰 결과를 기반으로 한 것이다. 올해 보고서는 IBM 엑스포스 위협 인텔리전스, 사고 대응, 엑스포스 레드팀, IBM 관리형 보안 서비스 등 IBM 내 여러 소스와 레드햇 인사이트 및 인테저(Intezer)에서 데이터를 수집 및 분석한 내용을 담고 있다.

김선애 기자 다른기사 보기