안랩 "정상 프로그램 위장 악성코드, AI로 선제 대응해야"
"보안 소프트웨어에 유효한 인증서로 서명된 악성코드가 실제 유포된 사례가 있었습니다. 이 프로그램은 정상 소프트웨어로 분류되기 때문에 백신에서 탐지 대상이 아니지만, EDR을 통해서는 사용자 정의룰을 통해 유사 공격을 모니터링할 수 있습니다." 양하영 안랩 ASEC 실장은 30일 서울 강남구 코엑스에서 열린 과학기술정보통신부 주관 'AI 페스타 2025' 부대행사 '대한민국 사이버보안 컨퍼런스'에서 이같이 밝혔다. 그는 이날 '보이는 위협에서 숨겨진 전략적 위협까지, AI가 여는 선제적 방어'라는 주제로 발표했다. 양 실장은 최근 악성코드가 전통적 보안 제품으로 탐지하기 어려운 형태로 진화하고 있다며, 보이는 위협과 보이지 않는 위협으로 구분해 은밀한 유포 방식 사례와 대응 방안을 소개했다. 안랩에 따르면 2023년부터 2025년까지 제로데이(패치가 없는 상태의 취약점을 노린 공격)가 급증했다. 특히 국내 보안 소프트웨어의 취약점이 큰 비중을 차지했다. 양 실장은 “2024년에는 마이크로소프트 취약점을 제외하면 대부분이 국내 보안 소프트웨어 취약점이었다”며 “특히 금융 보안 소프트웨어를 노린 공격이 활발했다”고 설명했다. 대표적 사례들은 모두 정상 보안 프로세스를 조정해 악성코드를 심는 것이 특징이다. 이중 언론사 홈페이지가 공격을 당해 독자가 기사를 열람하자 제로데이 취약점을 통해 암호화폐 탈취가 이뤄졌던 침해사고를 소개했다. 양 실장은 "언론사 홈페이지에 최초로 들어가게 되면 취약점 공격이 1차로 실행이 되고 사용자 시스템에 이미 설치된 보안 소프트웨어가 가지고 있는 취약점을 통해 PC에 암호화폐가 존재할 경우 2차로 공격하는 방식"이라며 "MS 프로세스에 의해서 추가적인 정보 유출이 발생하는 구조"라고 했다. 특히 마이크로소프트 소프트웨어에 악성코드를 입히는 방식이기 때문에 보안 프로그램이 정상 소프트웨어로 인식하기 때문에 방어가 쉽지 않다는 것이다. 양 실장은 "수많은 정상 이벤트들 중에서 이런 것들을 사람이 선별하기는 어렵다"고 토로하며 "향후 보안 프로그램이 사이버위협 인텔리전스(CTI), 엔드포인트 탐지 및 대응(EDR), AI 기반 탐지를 결합해야 한다"고 제언했다. CTI는 사이버 공격에 사용되는 위협 정보(악성코드 샘플, 해시값, 공격자 IP, 도메인, 행위 패턴 등)를 수집·분석·공유하는 체계다. 수집된 CTI를 바탕으로 PC, 서버 같은 엔드포인트 단말에서 일어나는 행위(프로세스 실행, 파일 생성, 네트워크 연결 등)를 지속적으로 모니터링하고, 이상 행위가 발견되면 탐지·대응하는 EDR 솔루션을 실행하고 AI로 이상 징후를 선별하는 것이다. 양하영 실장은 "유효한 인증서로 서명된 파일이 만약에 기존에 하던 행동과 다른 행동들을 한다면, 예를 들어 기존과 다른 경로에 파일이 생성된다든가, 평상시에 생성 주체와 다른 형태로 설치가 됐을 때 AI를 기반으로 선제적으로 유사한 위협을 탐지하고 대응하는 전략이 요구되는 상황"이라고 말했다.
