진화하는 사이버위협·생성형 AI·모바일기기·멀웨어 개발·ID 기반 공격
[보안뉴스 박은주 기자] 보안 담당자는 끊임없는 보안 위협에 고단한 2023년을 보내고 있다. 위협 행위자는 전략·전술·과정(TTP: Tactics, Techniques, Procedures)을 치밀하게 준비해 더욱 복잡한 공격망을 만들고, 변화하는 사이버 환경에 적응하고 있다. 특히, 위협 행위자는 아이덴티티(Identity)를 우선순위에 두고 기술보다 사람을 목표로 하고 있다. TTP 세부 구성이나 타깃, 기술은 바뀔 수 있지만, 공격망에서는 변함없이 사람과 자격증명(Identities)을 노린다.
[이미지=gettyimagesbank]
위협 행위자들은 이메일 피싱 공격을 고도화하고 성공률을 높이기 위해 생성형 AI(인공지능)까지 활용하고 있다. 이는 기술적 취약성을 노린다기보단, 사람의 행동을 조종하는 방향으로 공격의 추세가 변화를 보여주는 사례다. 올 한해를 돌아보면 사이버 위협 행위자는 멀티팩터(MFA, Multi-Faxtor Authentication) 등 보안 강화에 대응해 전술을 바꿀 능력·자원을 보유하고 있었다.
프루프포인트의 패트릭 조이스(Patrick Joyce) 글로벌 정보보호최고책임자(Global Resident CISO)는 2024년에도 사람을 중심으로 하는 위협이 지속해서 이어질 것이라 말했다. 또한, 위협 공격망을 타파하기 위해서는 지금과 다른 접근방식을 취해야 한다고 제언하며 ‘2024년 보안팀이 직면할 5가지 문제와 전망’을 제시했다.
1. 사이버 공격: 카지노는 빙산의 일각
사이버 범죄가 디지털 공급망 업체를 노리고 있다. 특히, 보안 및 ID 제공업체에 대해 공격이 집중되고 있다. 피싱 캠페인을 포함한 공격적인 사회공학 기반 전략이 확산하고 있다. 이러한 전략을 실행한 단체로는 라스베이거스 카지노(Las Vegas casinos) 랜섬웨어 공격을 벌인 바 있는 스캐터드 스파이더(Scattered Spider) 그룹이다.
로그인 자격증명 정보를 갈취하기 위해 헬프데스크 직원을 피싱하고, 일회용 비밀번호 생성기(OTP) 피싱 코드로 MFA를 우회하는 것이 일반화되고 있다. 이 전략이 공급망 공격에도 쓰이면서 ID제공 벤더사(IDP vendors)에 침투해 고객 정보를 노리고 있다. 2024년에도 공격적인 사회공학 전술이 횡행할 것으로 예상하며 기존의 데이터 생성 엣지 기기(Edge Device)와 파일전송 기기 외에 초기 침투 시도의 대상이 확대될 것으로 전망했다.
2. 양날의 검, 생성형 AI
ChatGPT, FraudGPT, WormGPT 등의 생성형 AI 도구가 기하급수적으로 증가하고 성장 잠재력과 위험이라는 양면성을 보이며 사이버 보안을 우려하지 않을 수 없는 상황이다. 거대언어모델(LLM)이 주목받고 있으나, 오용에 대한 우려로 인해 2023년 10월 미국 조 바이든 대통령이 AI 안전성 평가를 의무화하는 등의 내용이 담긴 행정명령에 서명했다. 지금도 위협 행위자는 새로운 전략을 생각하고 있을 것이다. 왜 제대로 작동하고 있는 모델을 다시 생각해봐야 할까? 자신의 보안 솔루션이 개선되는 순간 위협 행위자는 자신의 TTP를 바꾸려 할 것이다.
한편, 더 많은 업체가 AI와 LLM을 회사의 제품과 프로세스에 반영해서 보안 서비스를 강화하려고 할 것이다. 전 세계적으로 프라이버시 규제 기관과 고객은 모두 한목소리로 기술 기업의 AI 정책을 요구할 것으로 전망한다. 이에 각 기업의 책임 있는 AI 정책에 관한 발표하고, 현격한 실패 사례와 책임 있는 AI 정책 사례 모두 증가할 것으로 예상된다.
3. 새롭게 부상하는 ‘옴니채널 전략’, 모바일 기기 피싱
2023년 주요 동향 중 하나는 모바일 기기 피싱이었고, 2024년에는 이 위협이 더욱 증가할 것으로 전망된다. 위협 행위자는 전략적으로 피해자를 모바일 플랫폼으로 이동시키고, 내재된 취약성을 악용하고 있다. 특히, 피해자와의 대화를 통한 스미싱 등 대화형 공격이 급증했다.
멀티 터치(Multi-Touch) 캠페인은 사용자를 데스크탑이 아닌 모바일 기기로 유인해 QR 코드와 사기 음성 전화를 사용하게 하고 있다. 이렇게 하면 공격자는 모바일 기기 피싱 공격이 쉬워지고, 기업 보안팀의 감지를 피하는 효과가 있다.
4. 오픈소스 및 생성형 AI: 멀웨어 개발자들의 각축장
멀웨어 개발자는 오픈소스 도구와 생성형 AI를 활용해 더 많은 대상에게 접근할 수 있는 첨단 프로그래밍 기법을 만들고 있다. 그 결과 샌드박스, 엔드포인트 감지 및 대응(EDR) 등의 도구를 교묘하게 피할 수 있는 멀웨어가 확산하고 있다. 시스위스퍼(SysWhispers) 등의 무료 및 오픈소스 소프트웨어 접근로 접근할 수 있으면서 다양한 멀웨어 프로젝트가 고도화된 감지 우회 기능을 손쉽게 도입하고 있다. 이에 따라 미숙련 개발자들의 진입장벽이 낮아지고 있고, 이에 멀웨어 제품군도 더욱 증가하고 있는 양상이다.
5. ID 기반 공격 중심: 아킬레스건
ID 기반 공격이 사이버 보안 공격을 주도해 인간이 가지고 있는 본래의 취약성과 제한적 가시성을 파고들 것이다. 오랫동안 ‘공개된 사이버 보안 취약성(CVEs)’에 의존해 온 사이버 공격자가 힘을 잃고 있다. 이제 방어자가 명심해야 하는 새로운 진실은 ‘ID는 새로운 취약성’이라는 점이다. 각 기업 조직은 이제 인프라 강화가 아닌 저장된 자격증명 정보, 세션 쿠키, 액세스 키 등의 정보 보호와 권한계정(IDP 포함) 관련 설정오류 해결에 주력해야 한다. 인적 연계가 있는 공격망에는 신속하고 혁신적인 방어가 필요하다.
결론적으로, 2024년은 공격자의 전략이 정교해지면서 업무 과부하에 걸리면서 사이버 보안 담당자에게는 쉽지 않은 한 해가 될 전망이다. 진화하고 있는 사이버 위협에 대응하기 위해서는 선제적이고 유연한 전략을 세워야 한다. 또한, 인적 요소가 사이버 방어 관점에서 중요한 연계라는 것을 명확히 인지해야 한다. 보안 공격 환경이 변화하고 있는 상황에서 △ID 기반 공격이나 생성형 AI 기반 공격 △모바일 기기 피싱 등의 다면적인 문제에 대한 대응 △디지털 영역을 확보하면서, 공격망 타파를 강화하려면 강력한 회복력을 갖춘 보안 방어가 필수적이다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>