SK쉴더스 "급증하는 랜섬웨어 배후는 IAB"
"최근 랜섬웨어가 급증하는 이유는 복잡한 기술 없이도 이를 가능하게하는 '초기 침투 전문 브로커'(IAB)의 문제가 크다. 이들의 규모가 점점 커지고 있는 만큼 기업들은 더욱 철저한 보안 환경을 구축해야 한다." SK쉴더스 이호석 이큐스트(EQST) 랩장은 20일 서울 중구 SK T타워에서 열린 '2023년 상반기 보안 트렌드 및 AI 보안 위협 전망 미디어 세미나'에서 이같이 말하며 상반기 주요 보안 트렌드를 설명했다. 이번 세미나는 SK쉴더스의 화이트해커그룹 이큐스트에서 분석한 상반기 주요 해킹 사례 및 업종별 통계, 하반기 공격 시나리오 등을 소개했다. 특히, IT업계에서 주목받고 있는 생성AI를 악용한 보안 위협과 대응방안 등도 제시했다. ■ 기업 접속 권한 판매하는 대규모 거래소 'IAB' 올해 상반기 공격 비율이 전년 대비 절반에 가까운 49.33% 증가했으며, 이중 기업의 기밀이나 개인의 금융 정보를 탈취하는 정보유출 침해사고가 30%로 가장 많았다. 특히, 오래된 취약점을 활용한 대규모 랜섬웨어 공격이나 제로데이를 악용한 악성코드 감염사고가 증가해 28%를 차지했다. 이호석 SK 랩장은 랜섬웨어 등 해킹 그룹이 점점 더 조직화되고 있으며 전문적인 지식 없이도 손쉽게 공격을 시도해 금전적 이득을 취할 수 있는 생태계가 확립되고 있다고 밝혔다. 그는 급증하는 사이버 공격의 배후로 '초기 침투 전문 브로커'(IAB)를 지목했다. IAB는 개인정보 및 기업 인프라 접속 권한 등을 전문적으로 수집 및 판매하는 전문 거래소다. 일부는 랜섬웨어나 해킹툴도 판매한다. 직접 사이버공격을 시도하지 않는 대신 누구나 사이버 공격을 시도할 수 있는 환경을 제공하는 플랫폼인 셈이다. 이를 통해 거래소 이용자들은 스피어피싱 등의 사전작업 없이 이들이 판매하는 데이터를 악용해 기업 시스템에 바로 침투해 랜섬웨어 공격을 시도할 수 있다. 또는 개인 사용자를 사칭해 아마존이나 넷플릭스 등의 구독 서비스를 무료로 사용하기도 하는 것으로 나타났다. 최근 IAB를 이용하는 랜섬웨어 그룹이나 해커가 늘면서 데이터 수집가, 랜섬웨어 개발자, 웹 디자이너 등 역할을 분담하며 규모를 키우고 있다. IAB로 인한 피해가 심각해지면서 미국을 포함한 유럽 경찰 연합은 공조수사를 통해 대규모 체포 작전에 나서며 관계자 체포 및 거래소 폐쇄에 나서고 있다. 하지만 러시아 등 접근이 불가능한 지역에서 활동하는 거래소는 제재가 어려운 상황이다. 이호석 랩장은 “여러 정황으로 인해 한동안 랜섬웨어 등 사이버 공격은 한동안 증가할 것으로 예상되는 만큼 기업 자체적으로 보안을 강화해야 한다”며 “특히 그룹사나 기업이 나눠져 있는 경우 보안이 취약한 한 지점에서 모든 지역으로 공격이 번질 수 있으니 최대한 사각지대 없이 실시간 모니터링하며 이상감지가 가능한 보안시스템을 구축해야 한다”고 설명했다. ■ 랜섬웨어 공격 목표 1위 '제조업' 사이버공격의 업종별 공격 비율 결과는 제조업이 19%로 가장 높았다. 제조업의 특성상 장비나 시설이 멈추면 납기일을 맞출 수 없어 협상을 유리하게 이끌 수 있기 때문이다. 특히, 발전소, 정유소 등 에너지기업이나 수도공사 같은 경우 사용자 피해가 극대화되며, 제철소는 제조라인의 원자재를 모두 폐기 처분해야 한다. 그만큼 사이버 범죄의 주 타깃이 되고 있다. 이어서 서비스업이 15%로 2위를 차지했으며, 가상자산을 노리고 악성코드를 배포해 금융정보를 탈취하는 침해사고가 12%로 뒤를 이었다. 이호석 랩장은 “제조업을 대상으로 한 사이버공격은 한동안 지속될 것으로 예상된다”며 “제조 분야업종에 있다면 보다 보안에 더 집중하는 것이 유리할 것”이라고 조언했다. ■ 하반기 생성AI 오염 및 딥페이크 피싱 우려 EQST는 하반기 주요 보안 위협으로 ▲소프트웨어 공급망 공격 확대 ▲북한 해킹 공격 증가 ▲생성AI 활용 딥페이크 본격화 등을 예상했다. 상반기 급증했던 김수키, 라자루스 등 북한 해커 그룹이 스피어 피싱과 악성코드 기능을 고도화시키고 있어 피해가 커질 것으로 분석했다. 특히 주로 활용했던 스피어 피싱 공격의 패턴이 다양화될 것으로 전망했다. 생성AI를 활용한 딥페이크 기술을 접목해 피해자의 목소리와 얼굴을 모방해 영상통화 등을 시도하는 등 피싱 공격을 수행하는 행태도 늘어날 것으로 예상했다. 이호석 랩장은 “딥페이크 분석은 영상보다는 우선 음성에 집중하고 있다”며 “음성을 합성하는 과정에 발생하는 부정확하거나 불명확한 부분을 캐치할 수 있는 AI 기술 등을 연구하고 있다”고 설명했다. 이 밖에도 기업이나 조직 등에서 사용 중인 AI모델에 잘못된 학습데이터를 추가해 의도적으로 오류를 발생시키는 등의 테러도 우려해야할 사항으로 지목됐다. 이재우 SK쉴더스 EQST사업그룹장은 “향후 생성형 AI가 고도화되면 공격의 자동화, 공격 수준의 상향 평준화가 예측되며, 해당 공격을 대응하기 위한 방어 측면에서도 생성 AI가 반드시 필요 할 것으로 예상된다”라며, “EQST는 방어 측면에서의 생성 AI 적용에 대해 연구해 고도화되고 있는 공격에 대한 대책을 선제적으로 제시할 것”이라고 말했다.