“SIEM에 AI 강화해 조기 탐지 성공”

[보안뉴스 강현주 기자] ‘DLL 하이재킹’ 공격이 지난 2년간 2배 증가했다는 분석이 나왔다. 이 기법은 윈도 운영체제에서 프로그램을 실행할 때 불러오는 동적 연결 라이브러리(DLL)를 사이버 공격을 위한 DLL로 바꿔치기 하는 공격이다.

27일 글로벌 사이버 보안 리더 카스퍼스키(한국지사장 이효은)는 이 같은 조사 결과를 발표했다.


▲2023~2025년 DLL 하이재킹 공격 및 변종 수 [자료: 카스퍼스키]

DLL 하이재킹 기법은 스틸러, 뱅킹 트로이목마 등 대규모 피해를 주는 악성코드 제작자뿐 아니라, 지능형 지속 공격(APT) 그룹과 사이버 범죄 조직이 타깃 공격에 활용한다. 카스퍼스키는 2023~2025년 동안 DLL 하이재킹 및 DLL 사이드로딩 등 변형 공격 사례를 러시아, 아프리카, 한국 등 여러 국가 및 지역의 기업 대상 공격에서 관찰했다.

카스퍼스키는 이에 대응해 자사의 보안 정보 및 이벤트 관리(SIEM) 플랫폼에는 AI 기반 기능이 추가했다. 이를 통해 DLL 하이재킹 공격 징후를 탐지하는 효율성이 향상됐다.

카스퍼스키 SIEM은 이러한 위협에 대한 보호 기능을 강화하기 위해 모든 로드된 라이브러리 정보를 지속적으로 분석하는 AI 기반 전용 서브시스템을 도입했다.

이번 신규 기능은 APT 그룹 토디캣(ToddyCat)의 공격을 조기에 탐지하고 차단하는 데 성공했다. 이를 통해 타깃 조직에 대한 피해를 예방했으며, 정보 탈취 악성코드 및 악성 로더 감염 시도도 탐지했다.

카스퍼스키 AI 연구센터의 안나 피자코바 데이터 사이언티스트는 “DLL 하이재킹 을 통해 공격자는 몰래 악성 코드를 실행할 수 있다”며 “AI 기반 고급 보호 기술을 활용하는 것은 점점 진화하는 위협에 대응하고 핵심 시스템을 안전하게 지키는 필수 요소”라고 말했다.

이효은 카스퍼스키 한국지사장은 “한국 기업도 증가하는 DLL 하이재킹 위협에 직면하고 있다”며 카스퍼스키 SIEM이 토디캣 그룹의 공격을 조기에 차단한 것처럼 탐지가 어려운 위협을 효과적으로 대응할 수 있다”고 말했다.

[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>