[데이터넷] 공격자가 보안 솔루션 개발사 내부직원 PC를 감염시킨 후 VPN 계정을 탈취해 해당 회사 내부망으로 침투, 관리자 업데이트 서버 계정을 탈취했다. 업데이트 서버에서 감염된 보안 솔루션 업데이트 파일을 유포시켜 가상자산 거래소를 비롯한 여러 기업을 공격해 가상자산 탈취와 내부자료 유출 등의 사고를 일으켰다.

임채태 한국인터넷진흥원 침해대응단장은 14일 열린 한국침해사고대응팀협의회(CONCERT)의 ‘기업 정보보호 이슈 전망 세미나’ 키노트에서 지난해 발생한 보안 솔루션 기업의 공급망 공격 과정에 대해 설명하면서 “공급망 공격이 가장 큰 위협이 되고 있다”고 강조했다.

최근 보안 솔루션 공급기업을 이용하는 공급망 공격이 크게 늘고 있다. 가장 자주 발생하는 사고가 인터넷뱅킹 시 사용하는 금융보안모듈을 이용하는 것이다. 대부분의 사람들이 금융거래를 모바일로 하기 때문에 오래 전 설치된 금융보안모듈이 실시간 활성화되는 경우가 많다.

이 모듈은 PC 실행 시 자동으로 실행되며, 취약점 업데이트가 자동으로 이뤄지지 않아 취약점 악용 공격이 쉽다. 따라서 평소 PC에서 사용하지 않는 금융보안모듈은 삭제하며, 인터넷뱅킹을 이용했다면, 사용 후 설치된 모듈은 삭제하는 것이 좋다.

지난해 온라인 쇼핑몰에서 외부 소스코드 저장소에 저장된 클라우드 접속 권한을 탈취당해 개인정보 620만건이 유출된 사고도 발생했다. 이처럼 소스코드 저장소를 이용한 공격도 크게 늘고 있어 주의해야한다. 소스코드 저장소의 관리자 계정을 비롯한 주요 정보를 탈취한 공격은 물론이고, 코드 저장소에 악성코드를 업로드 해 유포되도록 하는 공격도 발생한다.

해커의 최고 인프라 ‘공급망’

임채태 단장은 “해커가 사용할 수 있는 최고의 인프라가 공급망이다. 업데이트 서버, 외부 소스코드 저장소를 감염시키면 대규모 피해를 일으킬 수 있다. 그런데 공급망은 매우 복잡하기 때문에 보안을 위한 단위 기술을 도입하는 것 보다 모든 단계에 걸친 관리가 필요하다”고 설명했다.

임 단장은 공급망 위협으로 새로운 보안 시장이 만들어질 것이라고 밝혔다. 세계 각국 정부는 공급망 공격 방어를 위한 규제를 만들고 있으며, 미국의 경우 SBOM과 SSDF 준수를 강조하고 있다. 소프트웨어 개발사는 이를 만족할 수 있는 기술을 찾고 있으며, 보안 솔루션 공급업체들이 빠르게 규제대응을 위한 기술을 제공하고 있다.

소프트웨어 수출 기업들은 자사 기술이 이러한 규제를 만족시킨다는 것을 입증하기 위해 많은 투자를 단행해야 하기 때문에 국가에서는 상호인정을 통해 자국 규제를 만족하면 상대국 규제를 만족한다는 사실을 인정받을 수 있도록 노력하고 있다. 한국인터넷진흥원은 국내 소프트웨어 기업의 수출을 지원하기 위해 소프트웨어 공급망 규제 대응을 위한 정책 마련에 나서고 있다.

임 단장은 “공급망 보안은 보안 업계가 기대할만한 거대한 시장으로 성장하게 될 것이다. 기존 기업·기관뿐만 아니라 모든 IT 벤더가 고객이 될 수 있다. 이 시장에서 우리 보안 기업들이 성장 기회를 가질 수 있도록 KISA가 적극 도울 것”이라고 밝혔다.

다크웹 유출 정보 3배 증가

최근 보안 업계에서 주목하는 새로운 시장이 다크웹과 텔레그램 모니터링이다. 공격자들은 다크웹과 텔레그램에서 자신이 기밀정보·개인정보를 보유하고 있다고 공개하면서 피해 기업·기관과의 협상에서 유리한 위치를 차지하려고 한다. 공격자의 주장이 언론에 보도되면 피해 기업·기관은 공격자와의 협상에 응하지 않을 수 없는 상황이 된다.

문제는 공격자가 보유하고 있는 정보가 실제로 위협이 되는 것인지 검증할 방법이 없다는 것이다. 공격자들은 협상을 유리하게 하고 자신의 몸값을 높이며 유명세를 얻기 위해 자신의 공격 성과나 자신이 탈취한 정보를 과장하거나 거짓을 말한다. 실제로 공격자가 공개한 데이터의 상당부분은 오래되어 사용할 가치가 없거나 중복된 것이지만, 그 중 일부는 매우 중요한 정보이기 때문에 무시할 수 없다.

임 단장은 “작년 KISA가 다크웹 모니터링을 통해 탐지한 계정유출사고는 전년대비 3.1배 증가했다. 다크웹과 해킹포럼에서 공개된 정보 중 기업에서 유출된 것이 79%에 이른다. 이러한 정보의 진위를 파악하려면 공격자가 보유한 정보를 입수해 분석해야 하는데, 이것은 현실적인 방법은 아니다. 공격자의 모든 주장을 그대로 믿고 대응할 수 없지만, 무시할 수도 없어서 보안팀의 피로도가 높아지고 있다”고 밝혔다.

생성형 AI 이용 보안 강화 효과 높아

이 행사에서는 실제 게임사에서 생성형 AI를 보안업무에 적용하는 방법에 대해서도 자세히 설명했다. 김동춘 넥슨코리아 실장은 자사에서 생성형 AI를 사용해 업무를 효율화 한 사례를 공개하면서 보안 진단과 대응에 유용하게 활용하고 있다고 밝혔다.

생성형 AI를 이용해 블루팀에서는 웹로그에서 공격 여부를 파악하며, 퍼플팀에서는 CVE 등의 신규 취약점 정보 중 주의해야 하는 것을 알려주는 취약점 큐레이팅으로 사용한다. 자사관리도 생성형 AI를 활용한다.

불법적인 게임 유저를 차단하지 않고, 이상행위를 하는 사용자에게 할루시네이션을 발생시켜 게임 유저의 불법 행위가 실제 게임에 영향을 미치지 않도록 하는 기능도 적용했으며, 레드팀에서는 AI를 이용한 모의해킹을 수행하고 있다.

김동춘 실장은 “AI가 유용하게 사용되고 있지만, 잘못하면 실제로 AI가 회사를 공격하거나 중요 정보를 노출시킬 수 있기 때문에 AI 설계와 사용에 신중을 기해야 한다. AI 개발사와 계약을 맺을 때 데이터 보호와 관련한 내용을 반드시 적용하는 것도 필요하다”고 말했다.

김선애 기자 다른기사 보기