2024-11-23 17:30 (토)
AI·머신러닝·랜섬웨어·공급망 공격 등 2024년 주요 사이버공격 범주 6개
상태바
AI·머신러닝·랜섬웨어·공급망 공격 등 2024년 주요 사이버공격 범주 6개
  • 길민권 기자
  • 승인 2023.11.21 13:27
이 기사를 공유합니다

체크포인트 “2024년 사이버 보안은 크게 AI 및 머신 러닝, GPU 파밍, 공급망 및 중요 인프라 공격, 사이버 보험, 무기화된 딥페이크 기술 및 피싱 공격 6가지 범주로 나뉜다”

체크포인트(Check Point)의 위협 인텔리전스 부문인 체크포인트 리서치(Check Point Research, 이하CPR)가 올해 상반기에 범죄 활동이 급증했으며, 2분기 전 세계 주간 사이버 공격은 8% 증가해 2년 만에 가장 높은 수치를 나타냈다는 조사 자료를 발표했다.

랜섬웨어와 핵티비즘 등 익숙한 위협이 진화하면서 범죄 조직들은 전 세계에 사용자들을 감염시키고, 그들의 영향을 확장하기 위해 수법과 툴을 수정하고 있다. USB 저장장치 등 레거시 기술까지 악성코드를 확산시키는 수단으로 다시 인기를 얻고 있다.

올해 가장 성장한 가장 주목할만한 부문 중 하나는 랜섬웨어 환경의 진화다. 랜섬웨어에 공격을 받은 120개 이상의 사이트를 공개한 '부끄러운 사이트(shame-sites)'의 자료에 따르면 2023년 상반기에 총 48개의 랜섬웨어 그룹은 2천2백명 이상의 피해자를 침해하고, 공개적으로 갈취했다. 올해 MGM 리조트 공격을 포함해 주요 라스베이거스의 사이트를 며칠 동안 폐쇄하고, 수백만 달러의 복구 비용이 소요될 것으로 보이는 여러 가지 세간의 이목을 끄는 사고가 발생했다.

'부끄러운 사이트(shame-sites)'는 해커 그룹이 다크웹에서 랜섬웨어 피해자와 몸값 협상, 램섬웨어 피해자 폭로, 금전적인 대가 지불 불응에 대한 데이터 유출 등 목적으로 운영되는 사이트다.

체크포인트의 2024년 사이버 보안은 크게 AI 및 머신 러닝, GPU 파밍, 공급망 및 중요 인프라 공격, 사이버 보험, 무기화된 딥페이크 기술 및 피싱 공격 6가지 범주로 나뉜다.

◆AI와 머신러닝

-AI가 주도하는 사이버 공격의 증가: AI와 머신러닝은 사이버 보안의 소통을 지배해 왔다. 내년에는 툴킷의 모든 측면을 가속화하고 확장하기 위해 AI를 채택하는 위협 활동이 더 늘어날 것이다. 새로운 멀웨어 및 랜섬웨어 변종을 보다 비용 효율적으로 신속하게 활용하기 위해서든, 딥페이크 기술을 사용해 피싱 및 사칭 공격을 한 단계 더 발전시키기 위해서든 말이다.

-강대강의 싸움: 사이버 범죄자들이 AI와 ML의 잠재력을 활용하는 것을 본 것은 사이버 방어자도 마찬가지다. 우리는 이미 사이버 보안을 위해 AI에 상당히 투자했으며, 더 많은 기업들이 지능형 위협에 대비하기 위해 투자는 지속될 것이다.

-규제의 영향: 유럽과 미국에서는 AI 사용 규제 차원에서 상당한 진전이 있었다. 이러한 계획이 발전함에 따라 공격 및 방어 활동 모두에서 이러한 기술이 사용되는 방식에 변화가 일어나게 될 것이다.

체크포인트 소프트웨어 테크놀로지스, 세르게이 샤이케비치(Sergey Shykevich) 위협 인텔리전스 그룹(Threat Intelligence Group) 매니저는 “사이버 보안을 위해 AI에 의존하는 일은 부인할 수 없는 사실이지만, AI의 진화에 따라 적들의 전략도 마찬가지일 것이다. 내년에 우리는 한 발 앞서 나가기 위해 직면한 위협보다 더 빠르게 혁신해야만 한다. 책임감 있고, 윤리적 사용에 대한 면밀한 관찰을 통해 사이버 보안 부문에서 AI의 잠재력을 최대한 활용하자”고 말했다.

◆해커들은 AI 리소스에 액세스하기 위해 클라우드를 공략할 것–GPU 파밍

생성형 AI의 인기가 계속 치솟으면서 이러한 대규모 모델의 운영 비용이 급격히 증가해 잠재적으로 수천만 달러에 달할 수 있다. 해커들은 클라우드 기반 AI 리소스를 수익성을 낼 수 있는 좋은 기회라고 생각할 것이다. 그들은 자신들의 AI 활동에 대한 자금 지원을 위해 클라우드에 GPU 팜을 구축하는 데 노력을 집중할 것이다. 몇 년 전 컴퓨터 클라우드 리소스가 크립토 마이닝의 주요 대상이었던 것처럼 2024년에는 GPU 파밍이 클라우드 기반 사이버 공격 영역에서 가장 최근에 가장 인기있는 타깃이 될 것으로 예상된다.

◆공급망 및 중요 인프라 공격

-공급망 부문의 제로 트러스트: 중요한 인프라, 특히 국가가 관여하는 인프라에 대한 사이버 공격의 증가는 네트워크 내부 또는 외부와 관계없이 시스템에 연결하려는 모든 사람의 검증이 필요한 "제로 트러스트" 모델 전환으로 이어질 것이다. 조직은 정부가 개인 정보 보호를 위해 더 엄격한 사이버 보안 규정을 도입함에 따라, 새로운 법적 프레임워크보다 앞지르는 것이 필수가 될 것이다.

-공급망은 여전히 약한 연결고리: 공급망과 관련된 사고의 비율은 여전히 조직의 과제이며, 그 영향은 광범위할 수 있다. 기관들이 써드파티 공급업체에 대한 엄격한 평가를 시행하지 않을 경우 내년에도 이 같은 추세는 지속될 것이다.

-보안 프로토콜 강화: 최근의 침해는 공급망에서 보다 강력한 보안 프로토콜의 중요성을 강조하고 있다. 사이버 범죄자들은 더 큰 회사에 접근하기 위해 소규모 다운라인 공급업체들을 표적으로 삼기 때문에, 기관들은 더 이상의 공격을 막기 위해 보안 프로토콜에 대한 보다 엄격한 평가와 이행을 요구해야 한다.

◆사이버 보험

-보험 분야의 AI: 모든 산업과 마찬가지로 AI는 보험 회사가 사이버 복원력을 평가하는 방식을 변화시킬 것이다. 또한 이들 기업이 사이버 보안 서비스를 직접 제공할 수 있는 기회도 생길 것으로 보이지만, 중요한 것은 AI만으로 모든 사이버 보안 과제를 해결할 수 있는 것은 아니며, 기업들은 보안과 편리함의 균형을 맞춰야 한다.

-보험료 절감을 위한 예방적 접근: 조직은 사이버 보험 비용 증가와 인력 부족으로 인해 대응 보안에서 보다 효과적인 방어 보안으로 전환하기 시작할 것이다. 그들은 사이버 공격에 대한 예방 조치를 시행함으로써 보험료를 절감할 수 있다.

◆국가 주도의 공격과 핵티비즘

-사이버 전쟁의 유지력: 러시아-우크라이나 분쟁은 국가 주도 그룹이 수행하는 사이버 전쟁의 중요한 이정표가 됐다. 지정학적인 불안정은 내년에도 계속될 것이며, 핵티비스트 활동은 교란과 파괴를 주요 목표로 하는 사이버 공격, 특히 DDoS 공격의 더 많은 부분을 차지할 것이다.

-숨겨진 의도 감추기: 많은 핵티비스트 그룹이 정치적인 입장을 이유로 공격을 시작하지만 그들은 진짜 속셈을 감추고 있을 수 있다. 우리는 위협 행위자들이 다른 활동에 자금을 조달하기 위한 수익원으로 랜섬웨어 공격을 선택하는 핵티비즘과 상업주의 사이의 모호한 경계를 확인할 수 있었습니다.

◆딥페이크 기술은 무기화 될 것

딥 페이크 기술 발전: 딥 페이크는 종종 주식시장에서 옵션을 흔들고, 주가를 움직이거나, 더 나쁜 상황을 유발할 수 있는 콘텐츠를 만들기 위해 무기화된다. 이러한 도구는 온라인에서 쉽게 사용할 수 있으며, 위협 행위자는 권한 획득과 중요한 데이터에 액세스하기 위해 딥 페이크 소셜 엔지니어링 공격을 지속할 것다.

◆계속해서 기업을 괴롭히는 피싱 공격

소프트웨어는 항상 악용될 수 있다. 하지만 위협 행위자들은 "침입"하는 대신 "로그인"하는 편이 훨씬 쉬워졌다. 수년간 업계는 소프트웨어 악용에 대한 침입 시도를 탐지하고, 방지하기 위한 방어 레이어를 구축해 왔다. 피싱 캠페인이 상대적으로 성공하고, 간편해짐에 따라 내년에는 취약성 악용이 아닌 자격 증명 도용에서 비롯된 공격이 더 많이 발생할 것이다.

-고도화된 피싱 전술: AI로 강화된 피싱 전술은 보다 개인화되고 효과적으로 진화해 개인이 악의적인 의도를 식별하기가 더욱 어려워질 정도로 피싱 관련 침해는 증가할 가능성이 높다.

◆랜섬웨어: 스텔스 공격, 강화된 협박, 그리고 인공지능 격전장

-전술적으로 유리한 LotL: 적법한 시스템 도구를 활용해 공격을 실행하는 "LotL(Living off the Land)" 기술 채택이 급증할 것으로 예상되며, 특히 FBI 같은 기관이 Qbot 같은 악성 코드 네트워크를 성공적으로 차단한 경우 더욱 그렇다. 탐지 및 방해가 어려운 이러한 미묘한 접근 방식은 장치 및 네트워크 동작 이상을 정확하게 파악할 수 있는 MDR(Managed Detection and Response, 관리형 탐지 및 대응)을 포함한 정교한 위협 예방 전략의 필요성을 강조한다.

-랜섬웨어 방어에 따른 데이터 위험: 조직이 랜섬웨어에 대한 방어를 강화하고 있음에도 불구하고 데이터 손실 또는 유출 사고는 증가할 가능성이 높다. 중요한 데이터를 애플리케이션 서비스의 일부로 저장하기 위해 SaaS 플랫폼에 대한 의존도가 높아지면서 악의적인 단체가 악용할 수 있는 새로운 벡터와 취약점이 나타나는 것이 원인이 될 수 있다.

-랜섬웨어 보고 뉘앙스: 랜섬웨어 공격이 증가하는 것을 관찰하려면 분별력 있는 해석이 필요하며, 새로 도입된 보고 의무로 인해 부풀려질 가능성이 있다. 위협의 실제 범위와 규모를 분석하려면 보고 프로토콜의 역학을 이해하고, 이러한 통계를 신중하게 분석하는 것이 필수적이다.

체크포인트 소프트웨어 테크놀로지스, 다니엘 와일리(Daniel Wiley) 인피니티 글로벌 서비스 위협 관리 책임자이자 최고 보안 고문은 "랜섬웨어 공격자들의 AI 사용은 더욱 발전할 것이기 때문에 조직은 공격을 예방하는 것뿐만 아니라 잠재적인 영향을 완화하기 위해 사고 대응 및 복구 계획을 강화해야 한다. 조직은 공격이 더욱 정교해짐에 따라 경쟁에서 앞서 나가기 위해 보안에 대한 접근 방식을 진화시켜야할 필요가 있다."고 전했다.

조직은 사이버 범죄자들이 그들의 방법과 도구를 계속 진화시키고 있기 때문에, 그들의 사이버 보안 조치를 조정할 필요가 있다. 우리는 올해 여러 차례의 대규모 공격을 목격했다. 오늘날의 위협 환경에서 기업들은 자체 보안 프로토콜의 우선순위를 정해야 할 뿐만 아니라, 써드파티 공급업체의 보안 관행도 면밀히 조사해야 한다. AI가 강화된 사이버 공격, 제로 트러스트 모델 및 딥페이크 기술의 부상으로, 협력적이고 포괄적이며 통합된 사이버 보안 솔루션에 투자하는 것이 그 어느 때보다 중요해졌다. 우리는 확장되는 공격 벡터 앞에서 경계하고, 민첩하게 행동해야 하며, 사이버 위협에 대한 효과적인 방어책을 만들기 위해 함께 노력해야 한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★