[이슈분석]AI까지 동원하는 해커...올해 사이버 위협 '자동화'로 더 은밀해진다

글자 작게 글자 크게 인쇄하기
[이슈분석]AI까지 동원하는 해커...올해 사이버 위협 '자동화'로 더 은밀해진다

올해 사이버 보안 위협 수위가 한층 높아질 전망이다. 공격 수법도 다양해진다. 해커는 인공지능(AI)·머신러닝(기계학습) 같은 신기술을 도입해 사이버 공격을 감행한다. 올해 기승을 부린 랜섬웨어는 고도화된 수법으로 다양한 기기를 노린다. 사이버 범죄가 서비스화 되면서 하나의 산업군으로 성장할 것이라는 관측이다.

ⓒ게티이미지뱅크
<ⓒ게티이미지뱅크>

◇AI·머신러닝에 자가학습까지…고도화된 사이버 공격 활성화

AI·머신러닝이 사이버 공격에 본격 활용된다. 시만텍은 올해 해커가 사이버 탐지를 우회하는 용도로 AI·머신러닝을 사용할 가능성이 높아졌다고 분석했다. 기존에 많은 노동력이 요구되는 네트워크 공격·탐색에 AI를 활용한다. 기존에 보호·탐지에 쓰이던 AI·머신러닝 기술이 공격에 활용되면서 AI 간 대결구도가 펼쳐질 전망이다.

포티넷은 '봇넷' 진화에 '자가학습(Self-learning)' 기술이 쓰이게 될 것이라고 예측했다. 해커가 봇넷을 손상된 기기를 활용한 지능적 클러스터로 대체한다. 취약한 시스템을 효과적으로 공격하기 위해 자가 학습 기술을 활용한다. 자가학습 기술을 적용한 지능적 클러스터는 정보 교환을 통해 공격을 실행한다. 기하급수적으로 공격이 늘어 사전 대응을 무력화한다.

◇이어지는 '랜섬웨어 전성시대'…리눅스, 스마트 기기 등으로 다양화

지난해 랜섬웨어가 대표 악성코드로 자리 잡았다. 한국인터넷진흥원(KISA)이 발간한 '3분기 사이버위협 동향보고서'에 따르면, 1~3분기 새로 발견된 랜섬웨어 종류는 877개에 달한다. 1~3분기 랜섬웨어 민원접수도 5366건이다. 네트워크 웜 형태로 전파성을 극대한 워너크라이(WannaCry), 리눅스 랜섬웨어 에레부스(Erebus) 등 새로운 형태 랜섬웨어로 감염 피해가 컸다.

올해는 지능형 공격과 결합한 랜섬웨어가 기승을 부릴 전망이다. 데이터 암호화·시스템 파괴 목적을 가진 야누스형 랜섬웨어가 증가한다. 파일을 암호화해 금전을 요구하는 일반 랜섬웨어와 다른 유형의 공격 형태다.

랜섬웨어 공격은 사용자 개인 PC를 넘어 스마트·IoT 기기 등 다방면으로 확대된다. 시만텍은 올해 사이버 범죄자가 스마트TV 등 스마트 기기로 공격 대상을 넓힐 것으로 분석했다. 이들 기기는 수천달러에 달하는 고가 제품이다. 일반 사용자는 스마트 기기가 직면한 보안 위협을 인지하지 못한다. 이는 사이버 범죄자 공격을 부추기는 요소다.

리눅스 기반 랜섬웨어도 활개를 펼친다. 지난해 국내에서 웹호스팅 업체 인터넷나야나가 리눅스를 표적으로 한 에레부스 랜섬웨어에 감염됐다. 13억원에 달하는 금액을 해커에게 납부하며 파장을 일으켰다. 국내 업체는 물론 외국 보안업체도 인터넷나야나 사례를 주목했다.

이스트시큐리티는 현재 리눅스 기반 보안제품이 미미한 점을 지적했다. 이스트시큐리티는 “리눅스 기반 OS는 보안 위협으로부터 상대적으로 안전하다고 여겨졌지만 서버 제작사 등 기기 업체마다 사용하는 OS 종류·버전이 다르다”며 “모든 종류 리눅스 OS를 지원하는 보안 솔루션이 없다고 봐도 무방하다”고 밝혔다.

◇소프트웨어(SW) 공급망을 향한 대규모 공격

SW 개발·공급 업체를 노리는 공급망 공격이 커진다. SW 공급망 공격은 은밀하고 지속적으로 진행된다. SW 개발·배포 단계에서 악성코드를 숨긴다.

하우리는 올해 사용자 수가 많고 한 번에 큰 위협을 주는 SW를 노릴 것으로 분석했다. 공급망 공격은 주로 SW 개발사를 해킹해 악성코드를 심고 사용자의 PC에서 SW 업데이트 시 악성코드에 자동으로 감염되도록 한다. 표적기관 보안 시스템이 탐지하기 전에 이뤄져 위험성이 높다. 개발 초기 단계부터 유지보수를 위한 장비 납품과정까지 공격루트가 다양해진다.

안랩은 보안이 취약한 대상에 공급망 공격이 활용될 것으로 예측했다. 공격자는 주로 개발사 시스템이나 업데이트 서버 등을 해킹해 악성코드를 숨긴다. 보안이 취약한 곳을 노려 공격 효율을 높인다.

표적 공격을 위해 공급망 공격이 활용될 것이라는 전망도 있다. 카스퍼스키랩은 세계적 해커 조직이 워터링홀 대안으로 공급망 공격을 택할 것으로 분석했다. 워터링홀은 공격 대상이 방문할 가능성이 있는 합법적 웹사이트를 미리 감염시키고 잠복하면서 피해자 컴퓨터에 악성코드를 설치하는 기법이다.

이창훈 카스퍼스키랩코리아 대표는 “지능형 해킹 조직이 계속해서 취약한 개발업체를 골라 침투하기 때문에 많은 사람이 이용하는 SW를 겨냥한 백도어 공격이 많아질 것”이라며 “공급망 공격을 사용하면 공격 대상 분야 여러 기업에 침투하면서도 시스템 관리자·보안 솔루션 레이더에는 포착되지 않는다”고 말했다.

◇파일 없다고 안심하면 안돼…파일리스(File-less) 폭증세

파일리스 악성코드는 정상 프로그램에 코드를 삽입한다. 메모리상에서 작동하기 때문에 탐지가 어렵다. 시만텍과 하우리는 파일리스 공격 급증을 예측했다. 시만텍은 2016년부터 지난해까지 파일리스 악성코드가 꾸준히 증가했다고 분석했다. 공격은 '보안침해지표(IoC)'가 적고, 피해자가 일상적으로 사용하는 도구를 사용한다. 연계성이 없는 복잡한 행위 특성으로 중단, 추적, 방어가 더욱 어렵다.

시만텍은 “랜섬웨어 초창기에 소수 사이버 범죄자가 거둔 성공이 골드러시를 초래했듯이 다른 사이버 범죄자도 이 같은 신규 공격 기법을 활용하기 위해 모여든다”묜소 “수적으로는 전통 악성코드보다 적지만 심각한 위협으로 작용할 것”이라고 예상했다.

하우리는 “올해 이미 파일리스 악성코드를 통한 금융권 공격이 성공했고 워너크라이 사태를 통해 제로데이를 통한 악성코드 유포가 엄청난 파급력을 일으켰다”면서 “올해 이 둘이 결합해 강력한 공격으로 되돌아 올 것”이라고 밝혔다.

◇떠오르는 IoT 기기…취약점도 커진다

IoT 기기가 산업·일상으로 확산되면서 이를 향한 위협도 커진다. NSHC는 의료사물인터넷(IoMT)·스마트카·스마트와치 등에 대한 위협이 현실화할 것으로 예측했다. 프린터 같은 일상·사무기기까지 악성코드 공격이 발생한다. IoT 봇넷이 진화하면서 위협이 광범위하게 퍼진다.

가정에 IoT 기기 활용이 늘어나면서 해커가 사이버 공격을 확산하기 위한 침투 거점으로 활용할 전망이다. 시만텍은 피해자 네트워크에 지속적으로 접근하기 위한 거점으로 IoT가 이용될 것으로 예상했다. 사용자는 가정에 있는 IoT 기기를 사이버 보안 측면에서 고려하지 않는다. PC와 달리 정기 업데이트를 하지 않고, 초기 설정을 유지하는 경우가 대부분이다. 해커가 활용하기 좋은 환경이다. 해커는 피해자 네트워크·시스템에 접근하는 백도어(backdoor)를 확보한다. IoT 기기의 입력 정보·센서를 도용해 위조된 음성이나 이미지를 입력한다. 사용자가 아니라 IoT 기기를 가로챈 공격자가 원하는 대로 조종하는 일도 가능하다.

랜섬웨어도 IoT 기기를 겨냥한다. 이스트시큐리티는 기업이 업무용 IoT 기기에 리눅스 OS를 사용하는 점을 지적했다. 이를 겨냥한 랜섬웨어 공격이 증가할 것으로 분석했다.

◇내 손안 모바일기기 악성코드 취약점 노출

모바일 악성코드가 새 방식으로 진화한다. 공식 앱 스토어를 활용해 정상 앱으로 위장한다. 모바일 악성코드가 다른 취약점과 결합할 가능성도 있다.

안랩은 기존 스미싱·악성 이메일·유명 앱 사칭 등을 활용하는 방식을 벗어날 것으로 예상했다. 안드로이드 공식 앱스토어에 악성코드 포함한 앱을 직접 등록한다. 악성코드 유포 경로가 확대된다.

실제 이 같은 수법은 지난해 해외를 중심으로 기승을 부렸다. 트렌드마이크로에 따르면 지난해 보안 도구로 위장한 악성앱 36개가 구글 플레이에서 발견됐다. 앱은 배터리 절약, 중앙처리장치(CPU) 쿨링, 앱 잠금, 메시지 보안, 와이파이(WiFi) 보안등 성능향상·보안 앱으로 위장했다. 실은 가짜메시지를 띄우는 악성 앱으로 사용자 개인정보를 불법 수집하고 기기 리소스를 갉아먹는다.

카스퍼스키랩은 지난 2년간 보안 커뮤니티에서 밝혀낸 첨단 모바일 악성코드가 많다고 분석했다. 이들 악성코드가 익스플로잇과 결합할 때 위력이 커질 것이라고 예측했다.

◇사이버 범죄의 서비스화...해킹 산업이 성장한다

사이버 조직이 기업 형태로 조직을 갖추면서 산업군으로 성장할 조짐이다. 올해는 이 같은 움직임이 가시화 된다.

안랩은 서비스형 랜섬웨어(RaaS)에서 나아가 '사이버 범죄의 서비스화(CaaS)'가 올해 현실화 될 것으로 내다봤다. 서비스형 랜섬웨어는 비용을 지급하면 초보자도 랜섬웨어 공격이 가능한 서비스 형태로 제공되는 랜섬웨어다. CaaS는 나아가 사이버 범죄 조직이 개발·판매·유통·마케팅까지 세분화된 기업 형태를 갖춘다. 사이버범죄 서비스화는 랜섬웨어뿐 아니라 가상화폐 거래소 공격 등에 활용된다.

이미 '다크 웹(Dark Web)'을 중심으로 자동화로 공격자 편의성을 높인 서비스가 등장했다. 포티넷은 CaaS 조직이 새 자동화 기술로 다크 웹에서 새로운 서비스를 제공할 것이라고 예측했다 포티넷은 “기계학습을 활용하는 지능적 서비스가 이미 다크웹 마켓플레이스에서 제공된다는 사실을 파악했다”면서 “공격자는 실험실에서 무엇이 어떻게 감지되고 있는지 파악해 즉시 코드를 수정해 그들의 사이버범죄와 침투 툴을 감지할 수 없도록 만든다”고 분석했다.

변상근기자 sgbyun@etnews.com