국내 최대 사이버위협 대응 인공지능 보안 컨퍼런스 AIS 2023이 11월 2일 한국과학기술회관 국제회의실에서 500여 명의 보안실무자들이 참석한 가운데 성황리에 개최됐다.
데일리시큐가 주최하고 한국인터넷진흥원, 한국정보보호산업협회가 후원한 이번 AIS 2023에서 박성수 카스퍼스키(Kaspersky) 책임은 ‘사이버 위협 공격자와 방어자 입장에서 보나 AI 적용 방법’을 주제로 강연을 진행했다.
박성수 책임은 이번 강연에서 끊임없이 진화하는 사이버 위협 환경, 위협 인텔리전스의 핵심 역할, 사이버 공격과 방어 전략 모두에서 증가하는 AI의 영향력에 대해 포괄적으로 살펴보는 시간을 가졌다.
박 책임은 카스퍼스키 Global Research and Analysis Team(GReAT)팀에서 주로 한국어를 사용하는 공격그룹을 비롯해 아시아 전역의 APT 공격그룹들의 공격 동향을 분석하고 있는 위협 인텔리전스 전문가로 유명하다.
특히 북한 정부 지원 해킹 그룹 라자루스, 김수키 그룹 등과 같이 한국을 타깃으로 한 다양한 위협 그룹들을 분석하고 추적하는데 집중하고 있다.
박 책임은 “위협 그룹을 분석하면서 지속적으로 Mitre ATT&CK 프레임워크에 정보를 올리고 위협 행위자가 사용하는 전술, 절차 및 하위 기술을 꼼꼼하게 문서화하고 있다”며 “이 프레임워크는 사이버 공격의 라이프사이클에서 약 14개의 주요 단계를 분류하고 400개 이상의 하위 기술로 분류한다. 이러한 심층적인 분류는 사이버 범죄자들이 사용하는 다각적인 방법에 대한 귀중한 인사이트를 제공하고 있다”고 전했다.
우선 공격자들은 타깃을 설정하고 공격 리소스를 수집하고 공격을 위한 장치들을 준비한다. 그 다음 타깃에 다양한 수단을 동원해 악성코드를 전달하고 실행을 유도해 권한상승을 확보한 다음 타깃 시스템 내부로 침투해 정보를 유출하고 랜섬웨어를 유포하는 등 타깃에 심각한 피해를 가한다.
박 책임은 “북한 APT 공격그룹들은 공격을 위해 이메일을 수집해 타깃의 원거리 인맥부터 서서히 좁혀 들어가는 방식을 사용한다. VPN 서버를 구축하고 스피어피싱 메일을 보내고 오피스 문서를 보내 열어보게 하고 매크로가 실행되면 스크립트들이 동작해서 악성코드 감염에 성공한다. 그리고 C&C 서버를 통해 정보유출이 이루어진다”며 “라자루스는 방산업체를 주로 타깃으로 하고 있으며 그들의 커뮤니티에 가입해 활동하면서 친분을 쌓고 SNS를 통해 취업 관련 메시지를 보내 악성앱을 전달하고 정보를 유출하는 형식의 공격을 하는 경우도 있다. 김수키와 라자루스도 같은 한국어 베이스 공격그룹이지만 공격 타깃과 방식은 다르다. 그래서 항상 분석내용을 문서화해 두는 것이 중요하다”고 강조했다.
그는 또 정찰 수집 단계에서 인공지능 기술을 사용한다면 수월하게 정보 수집이 가능할 것이며 생성형 AI를 활용해 다양한 악성코드 제작도 가능한 상황이기 때문에 공격자 입장에서 AI는 이미 보편적으로 활용하고 있을 것이라고 설명했다.
하지만 그 공격이 AI를 활용한 공격인지 단정하기는 어렵다는 것도 덧붙였다. 또 악성코드 개발자들이 처음부터 끝까지 코드를 개발하지 않기 때문에 AI의 도움을 앞으로 더욱 많이 받을 것이라고 예측했다. 특히 예전에는 조잡한 한국어로 공격해 왔던 피싱메일들이 이제는 생성형 AI의 도움으로 한국인이 봤을 때 어색하지 않은 문장으로 메일이 올 수 있기 때문에 더욱 주의해야 한다고 전했다.
그는 사이버 공격의 여러 단계에서 AI가 수행하는 다양한 역할에 대해 자세히 설명했다. 정찰 단계에서 AI는 공개적으로 사용 가능한 데이터와 소셜 미디어를 활용하여 신속하게 정보를 수집하고 잠재적 표적을 식별한다. 무기화 단계에서 AI는 고도로 정교하고 난독화된 맞춤형 악성 코드를 생성하는 데 도움을 준다. 또한 소셜 엔지니어링 기술을 최적화하여 전달 단계를 대폭 강화하여 궁극적으로 사용자 상호 작용 가능성을 높인다. 익스플로잇 단계에서는 AI가 공격 스크립트를 개선하여 공격 스크립트를 더욱 찾기 어렵게 만든다. 또한 표적 환경 내에서 측면 이동을 간소화하고 취약점을 식별하며 탐지를 회피한다. 데이터 유출 단계에서 AI는 체류 시간을 줄이고 탐지 가능성을 최소화한다고 설명했다.
이외에도 공격자들이 AI 기술을 활용할 수 있는 다양한 사례들을 소개해 눈길을 끌었다.
한편 박성수 책임은 “AI는 사이버 방어 메커니즘을 강화하는 데 강력한 지원군 역할을 할 것이다. 알려진 위협을 식별하고, 위협 보고서에서 침해 지표(IOC)를 추출하고, 광범위한 데이터 세트의 분석을 지원하는 능력은 사이버 보안 전문가들의 판도를 바꿀 수 있다. AI는 이상 징후 탐지에 탁월해 잠재적인 침해를 방지할 수 있는 조기 경보 시스템도 제공할 것”이라고 전했다.
끝으로 그는 “AI가 계속 발전함에 따라 사이버 보안 환경은 변화의 벼랑 끝에 서 있으며, 사이버 공격자들은 AI를 활용하여 더욱 정교하고 회피적인 공격을 감행하고 있습니다. 동시에 방어자는 AI의 기능을 활용하여 탐지 및 대응 메커니즘을 강화한다”며 “사이버 보안, 위협 인텔리전스, AI의 융합으로 사이버 방어의 미래가 재편되면서 끊임없이 진화하는 이 영역에서 끊임없는 혁신과 협업의 필요성이 강조되고 있다. 사이버 보안 전문가는 사이버 위협에 앞서고 디지털 경계를 지키기 위해 경계를 늦추지 않고 업계의 변화하는 패러다임에 적응해야 한다”고 강조했다.
보다 상세한 내용은 아래 영상을 참고하면 되고 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
