[디지털데일리 이종현기자] SK쉴더스는 올해 상반기 주요 보안 트렌드 및 인공지능(AI) 보안 위협 전망을 공유하는 세미나를 20일 서울 중구 SKT타워에서 개최했다. SK쉴더스 내 화이트해커 그룹 이큐스트(EQST)의 전문가들이 직접 발표에 나섰다.

세미나에서는 상반기 발생한 주요 해킹 사례, 업종별 침해사고 hxdrP, 주요 공격 시나리오 등이 공유됐다. 정보기술(IT) 업계에서 급부상 중인 생성형 AI에서 발생 중인 보안 위협과 실제 이큐스트가 검증한 AI 활용 방안 및 사용 가이드도 소개됐다.

◆생성형 AI는 보조적 수단··· 방어·공격 양쪽에 주어진 무기

이날 세미나에서 특히 강조한 것은 IT업계의 메가 트렌드로 거듭난 생성형 AI다. 세계 각국에서는 정부 차원에서 생성형 AI의 사용을 제한하거나 규제 마련에 속도를 내는 등 민감하게 반응하고 있다. 국내에서도 관련 움직임이 시작되는 상황이다.

SK쉴더스는 생성형 AI로 인한 보안 위협을 ▲AI 모델에 악의적인 데이터를 추가해 공격자가 의도한 악의적 행위나 결과를 생성토록 하는 중독 공격 ▲AI 서비스 취약점을 이용해 기술을 탈취 ▲서비스를 이용해 악성코드를 생성 및 배포 등으로 구분했다.

다만 현재 단계에서 생성형 AI로 인한 보안 위협이 심각한 수준은 아니라는 것이 SK쉴더스의 판단이다. 현재의 생성형 AI 수준이 전문가의 보조적 역할을 하는 데 그칠 뿐, 사람을 대체할 만큼의 다다르지는 못했기 때문이다.

실제 SK쉴더스는 생성형 AI를 보안 영역에서 어떻게 활용할 수 있을지에 대해 살피기 위해 시큐어코딩, 모바일분석, 악성코드 분석, 시나리오 모의해킹 등으로 확인했다. 악성코드 및 모바일 분석에서는 한계가 명확했고 시큐어코딩과 시나리오 모의해킹의 경우 전문가를 보조하는 데는 활용될 수 있으리라 전망했다.

SK쉴더스 이호석 이큐스트 랩 담당은 “코딩은 사람의 언어보다 규칙적이고 변수가 적어서 생성형 AI의 활용도가 높은 편이다. 하지만 여전히 사람의 손을 타야 한다. 메인 수단으로 쓰기는 어렵고 규칙적인 점검 정도에는 쓸 수 있을 듯하다”면서도 “다만 현재 챗GPT와 같은 서비스를 이용할 경우 기업 내부 소스코드가 외부로 유출되는 형태이기에 이에 대한 고민이 필요하다”고 말했다.

또 “보안 영역에서의 생성형 AI 활용 수준은 초·중급 정도로 확인된다. 굳이 생성형 AI를 쓰기보다는, 다른 특화된 AI 모델을 개발해서 사용할 수는 있을 듯하다”며 “다만 AI 기술이 비약적으로 발전하고 있는 만큼 앞으로 활용도가 높아질 것으로 보인다”고 말했다.

생성형 AI가 스스로 취약점을 찾거나, 악성코드를 발견하는 등의 수법보다는 음성 딥페이크 및 피싱 등이 당면한 위험이다. 현재 5초 정도의 음성 샘플만 있으면 AI를 통해 유사한 음성을 만들 수 있다. 이를 이용해 친인척을 가장한 보이스피싱 수법은 큰 위협이다. 또 다소 어눌한 한국어로 쉽게 걸러지던 피싱메일의 내용이 생성형 AI를 통해 정교해질 경우 그 피해는 더욱 커질 것으로 예상된다.

◆다사다난한 상반기··· 하반기도 위협 지속할 듯

SK쉴더스 이큐스트는 올해 상반기 공격 비율이 전년 상반기 대비 49.33%나 증가한 것으로 파악했다. 기업의 기밀이나 개인의 금융 정보를 탈취하는 정보유출 침해사고가 30%로 가장 많이 발생했다. 특히 올해는 오래된 취약점을 활용한 대규모 랜섬웨어 공격이나 제로데이를 악용한 악성코드 감염사고가 증가하며 전체의 28%를 차지했다.

구체적으로 살펴보면 올해 1월에는 중국 해커 그룹 ‘샤오치잉’이 정부부처와 공공기관을 타깃으로 내부 정보를 탈취하거나 홈페이지를 변조하는 디페이스(Deface) 공격을 시도한 것이 눈길을 끌었다.

또 3월에는 북한의 라자루스 그룹이 기업용 통신 소프트웨어(SW)를 통한 공급망 공격을 시도했다. 5월에는 비주류 프로그래밍 언어를 사용하는 것으로 알려진 블랙캣(BlackCat)이 국내 식품 기업에 랜섬웨어 공격을 통해 내부 데이터를 유출하기도 했다.

업종별 침해사고 발생 통계를 살펴보면 국내에서는 제조업에서 발생한 사고가 19%로 가장 높았다. 이는 제조업을 타깃으로 삼아 기업의 기밀 정보나 영업 정보를 탈취하기 위한 초기 침투 전문 브로커(IAB, Initial Access Broker)의 활동이 활발했기 때문으로 나타났다.

서비스업을 대상으로 솔루션 취약점을 악용한 공격 또한 성행했다. 국내에서는 제조업 다음으로 15%를 차지했으며, 국외 기준으로는 20%로 가장 많았다. 가상자산을 노리고 악성코드를 배포해 금융정보를 탈취하는 침해사고도 국내 12%, 국외 14%를 기록했다.

이큐스트는 IAB의 활동으로 랜섬웨어 그룹이 점점 더 조직화되고 있으며 전문적인 지식 없이도 손쉽게 공격을 시도해 금전적 이득을 취할 수 있는 생태계가 확립되고 있다고 지적했다. 최근 랜섬웨어 그룹들이 IAB를 비롯해 랜섬웨어 개발자, 웹 디자이너/개발자 등 역할을 분담해 공격을 세분화하고 있다는 설명이다.

이 담당은 10분만에 2500억원 상당의 암호화폐를 탈취한 ‘플래시론(Flash Loan)’ 공격에 대해서도 소개했다. 플래시론 공격은 탈중앙화(DeFi) 대출 서비스로 받은 대출금을 이용해 비정상적인 행위를 수행하거나 취약점을 공격해 암호화폐를 탈취하는 공격이다. 이큐스트는 암호화폐 거래가 활발해짐에 따라 공격 방법과 대상이 다양화되고 있음을 보여주는 대표적인 사례로 플래시론 공격을 꼽았다.

EQST는 하반기 주요 보안 위협으로 ▲확장된 SW 공급망 공격 ▲랜섬웨어 시장 변화 ▲북한발 해킹 증가 ▲SW 취약점을 악용한 공격 ▲피싱 패턴의 다양화 등을 전망했다.

특히 김수키, 라자루스 등 대표 북한 해커 그룹이 특정 타깃을 목표로 하는 스피어 피싱과 악성코드 기능을 고도화시키고 있어 피해가 커질 것이라고도 경고했다.

이호석 담당은 “과거에는 대기업들이 랜섬웨어의 주요 타깃이 됐다. 대기업을 해킹하면 더 많은 금액을 탈취할 수 있으니까. 그런데 지금은 대기업과 협력하는 협력사나 계열사 등이 공격당하고 있다. 데이터는 굉장히 중요한데 보안은 조금 허술한 측면이 있기 때문”이라며 “SK쉴더스는 컨설팅이나 모의해킹, 관제 등을 통해 최신 위협에 대응할 수 있도록 지원하고 있다”고 피력했다.