사이버 공격자의 표적 범위가 갈수록 확대되고 위협에 사용되는 기술 또한 계속 늘어나는 가운데, 오늘날 위협 행위자들은 탐지를 회피하는 데 집중하며 기존의 보안 탐지 가시성에서 벗어나 침입을 감행하기 위한 다양한 경로를 모색하고 있다.

구글 클라우드가 최신 사이버 보안 트렌드를 짚어보며 사이버 위협으로부터 비즈니스를 보호하는 대응 방안을 논의하는 ‘시큐리티 데이’를 맞아 미디어 브리핑을 진행했다.

행사는 ▲글로벌 위협 트렌드 ▲국가별 보안 침해 현황 ▲위협 행위자의 생성AI 악용 사례가 발표됐으며, 연사로 구글 위협 인텔리전스 그룹(Google Threat Intelligence Group)의 루크 맥나마라(Luke McNamara) 부수석 애널리스트가 참여했다.

루크 애널리스트는 12년 이상 경력을 가진 사이버 보안 전문가로, 글로벌 보안 기업 파이어아이(FireEye)의 전략 분석 팀에서 연구를 주도했으며, iSIGHT 파트너스에서 스파이 활동 분석가로 러시아, 중국, 북한, 이란 등의 공공 기관 및 기업을 표적으로 삼는 국가 위협 활동을 추적하는 업무를 담당한 바 있다.

글로벌 위협 트렌드

2024년 초부터 금전적인 이득을 취하는 것을 목표로 국가 및 단체를 막론하고 탐지를 회피하는 등 가시성의 범위 밖에서 공격을 수행하는 것이 증가하고 있다.

탐지되지 않은 상태에서 공격을 수행하기 위한 내부 침입시 VPN, 라우터 등 에지 인프라에 집중하는 등 기존에 비해 그 방식이 정교화됐다. 특히, 임직원 등의 내부 인력을 표적으로 공격을 하는 공격 기법도 증가했다.

또한 하나의 사이버 범죄 집단이 초기 접근 권한(Initial Access)를 획득한 이후에 이를 다른 범죄 집단이나 국가 지원을 받는 공격자에게 넘겨주는 경우도 증가했으며, 넘겨 받는 공격자가 핵티비스트로 위장하거나 다른 핵티비스트와 공조 하는 등의 사례가 발견되기도 했다.

① 공격의 출처 및 프로세스 추적의 어려움

범죄자, 해킹 그룹, 국가 지원 공격자 간 경계는 점점 모호해지고 있다. 구글이 인수한 보안 기업 맨디언트(Mandient)가 발표한 2024년 4분기 클라우드 환경에 대한 서비스 조사에 따르면, 데이터 탈취/갈취 및 사기 행위 비중이 각각 37%에 달했고, 피싱 이메일 배포와 랜섬웨어가 각 5%를 차지했다.

2024년 4분기 맨디언트가 대응한 사고 중 초기 침해 경로가 확인된 약 43%는 피싱 수법을 통해 인증 정보가 유출된 경우였다.

② 데이터 유출 사이트(DLS) 동향

랜섬웨어 및 데이터 갈취 행위와 관련된 데이터 유출 사이트(DLS) 피해 추정 건수는 지속적으로 증가하고 있다. 맨디언트가 2020년 DLS를 추적하기 시작한 이래로 2024년에 가장 많은 피해 건수가 발견됐으며, DLS에 게재된 전체 피해자 수 뿐만 아니라 새롭게 개설된 DLS 또한 증가하고 있다.

특히 북아메리카와 또 유럽 지역에서 흔하게 나타나는 추세로 금전적인 갈취를 목적으로 하는 랜섬웨어 피해 수가 비교적 많이 나타났다. 루크 애널리스트는 관련한 예시로, 스노우플레이크에서 회원의 탈취된 정보(크레덴셜)를 기반한 협박 사례를 설명했다.

이어 그는 "인포스틸러 맬웨어를 통해 스노우플레이크를 이용하는 직원의 개인용 시스템을 거쳐 회사 시스템에 전염이 되고, 이것이 연쇄적으로 인포스틸러를 전염시켜 크레덴셜의 캡처가 연속해서 발생했다."라며 "탈취된 크레덴셜 인증 정보가 자격 인증 정보가 그 공격자에 의해 블랙마켓에서 판매되며, 다른 공격자가 그러한 탈취된 크레덴셜을 구매할 수 있게 된다."라고 덧붙였다.

또한 그 구매한 크레덴셜로 공격자가 해당 플랫폼에 로그인하며, 결국에는 이 데이터를 가지고 몸값을 요구하는 식으로 갈취를 하는 경우를 언급했다.

데이터 유출 사이트들은 유출된 데이터에 대한 비용을 지불하지 않으면 그 탈취된 데이터를 온라인에 올리겠다는 식으로 해당 피해 기업이나 기관을 협박하는 식으로 활동을 하고 있었다.

피해 추정건에 대해서 그는 "구글 클라우드가 2024년 한 해 동안 추적을 해본 결과, 데이터 유출 사이트에 올라오는 피해 추정 건수 자체도 증가하고 있었으며, 이 데이터 유출 사이트도 계속해서 증가했다."고 설명했다.

이는 데이터 유출 사이트 영역에서 활동하고 있는 주체들이 새롭게 나타났으며, 한편으로는 이미 처벌을 받았거나 사법적인 조치를 받았던 공격자들이 리브랜딩을 통해 다시 등장하게 되는 것으로 분석됐다.

한편, 지난 2년간 한국에서 추적 및 표적 활동의 영향을 가장 많이 받은 산업군은 제조업이었으며 금융 서비스와 미디어 및 엔터테인트먼트 산업이 그 뒤를 이었다.

이러한 추세를 반영하는 하나의 사례로, 북한 해킹 그룹 라자루스(APT45)가 대한민국 내의 제조업, 자동차 산업 그리고 방산업체들 그리고 반도체 산업을 겨냥하고 있는 것으로 분석됐다.

국가별 활동 트렌드

한편, 루크 애널리스트는 중국, 북한과 연관된 공격 활동을 중점으로 국가별로 어떠한 사이버 위협이 발생했는지에 대해 설명했다.

① 에지 네트워크 공격 위주의 중국 관련 위험

알려진 패치가 존재하지 않는 취약점을 활용하는 ‘제로데이 공격’이 2024년 한 해 동안 76개의 사례가 발견됐다. 이는 점진적인 증가 추세를 보이고 있었으며, 특히 중국 출처의 APT 공격이 주를 이루었다.

이외에도 중국 배후 해킹 집단은 개인의 부주의와 추약점을 노려 정보를 얻거나 시스템에 접근하는 소셜 엔지니어링 기법 대신 ▲에지 네트워크의 결함을 집중 공격 ▲해킹된 장치를 연결해 만든 ORB 네트워크 사용 ▲기존 시스템을 이용한 LOTL(Living off the land) 공격 등을 주로 보였다.

특히, VPN 라우터, 이메일 게이트웨이 그리고 또 기업의 경계 외부에 존재하는 취약점을 주로 공격했으며, 어플라이언스나 제품들을 대상으로 취약점을 모색했다.

또한 트래픽이 통과하는 인프라나 서버 혹은 라우터 등을 활용해 트래픽의 출처를 숨기는 ORB 네트워크를 사용했으며, 한 번 액세스를 획득하고 난 이후 직접 멀웨어를 바로 배포하거나 활용하기보다, 이미 존재하고 있는 툴을 활용해 이어가는 경우가 많았다.

한편 중국 배후 해커 그룹은 이러한 활동을 은밀하게 이어가기 위해 관리형 서비스를 제공하는 정보 기술 업체, 통신사 등 공급망을 갖춘 업체를 표적으로 공격하고 있다. 이러한 특징을 가진 조직은 다수의 사용자가 있으며, 그 사용자들이 또 연쇄적으로 피해를 줄 수 있기 때문에 공격자들이 집중하고 있다.

② 북한 관련 위험

북한 배후의 해커의 경우 간첩 활동을 하는 데 있어 여전히 활발히 활동하고 있다. 그러나 이에 못지 않게 북한 정부의 자금 조달을 위한 사이버 해킹 그룹의 주요 공격 활동 역시 증가하고 있으며, 루크 애널리스트는 이에 대해 설명했다.

북한의 사이버 위협 그룹은 미사일 개발 프로그램과 핵 야망, 정권 운영 비용에 대한 자금을 직접 조달하는 동시에, 국제 사회의 제재를 피하기 위해 암호화폐 분야와 블록체인 플랫폼 강탈에 집중하고 있다.

다른 국가의 그룹과 비교했을 때 북한 연계 해킹 그룹의 특이점은 북한 국적을 숨기고 다양한 산업 분야의 기업에 고용되어, 북한 정권에 수익을 창출하는 데 기여하고 있다는 점이다.

북한 정부의 자금 조달을 위한 사이버 해킹 그룹의 주요 공격 활동으로는 ▲암호화폐 거래소 공격 ▲SWIFT(국제 은행 간 금융 통신 네트워크) 시스템 하이재킹 ▲ATM 자금 인출 ▲랜섬웨어 ▲암호화폐 자체 및 거래소 해킹 ▲NFT 자체 및 개발 플랫폼 해킹 ▲IT 노동자와 유령 회사를 활용한 위장 취업 등이 있었다.

북한 IT 인력들의 활동 같은 경우에는 대부분에는 수익을 창출해서 외화 같은 것을 북한 내부로 송금을 하는 것이 목적이며, 북한이 하는 여러 불법적인 금융 거래라든지 금융 활동의 일부인 경우들이 다수였다.

위협 행위자의 생성AI 활용

루크 애널리스트는 구글의 위협 분석 그룹(Threat Analysis Group, TAG)이 위협 행위자를 추적하고 이들의 구글 생성형 AI 도구 사용을 조사한 결과, 위협 행위자들은 제미나이를 활용해 공격 운영을 활성화하기 위한 방법들을 실험 중인 것으로 나타났다고 했다.

예를 들어 정부 지원을 받는 지능형 지속 위협(APT) 공격자는 제미나이로 문제 해결 스크립팅을 수행하고, 정보 작전(IO) 행위자는 콘텐츠 제작 및 로컬라이즈 업무에 제미나이를 사용하고 있다.

현재로서는 제미나이를 생산성 향상을 위한 도구로 사용하는 수준에 그쳐 있으며, 새로운 공격 기법/기능을 개발하진 못한 것으로 분석됐다.

제미나이 악용에 대한 주요 조사 결과에 대해 루크 애널리스트는"공격자는 제미나이를 새로운 생산성 도구(정보 수집 및 분석, 코드 오류 검토 등)로 사용하고 있었으며, 새롭거나 독보적인 방식의 AI 기반 공격 또는 악용 기법을 사용하는 위협 행위자는 관찰되지 않았다."고 했다.

또한 제미나이의 안전 조치는 공격자의 위협 활동을 계속해서 제한하고 있으며, 보안 AI 프레임워크(SAIF) 위험 분류체계에 명시된 대로, 위협 행위자가 프롬프트 공격이나 기타 머신러닝(ML)을 활용한 위협을 사용하려는 시도는 관찰되지 않았다고 전했다.

한편, 특정 대상을 장기간에 걸쳐 지속적으로 공격하는 APT 그룹은 ▲정찰(정보 수집) ▲취약점 연구 ▲ 피싱 및 개인정보 탈취, 공격을 위한 텍스트 생성 ▲페이로드(Payload, 공격 행위 수행 악성 코드) 작성 및 코딩 등 공격 라이프사이클 전반에 걸쳐 제미나이를 활용하고 있었다.

루크 애널리스트는 “조직은 이러한 새로운 전술들을 탐지하고 대응하는 속도를 높여야한다.”라며 “보안 담당자들은 위와 같은 사례를 예방하기 위한 MFA 인증 등의 데이터 보안 도구를 사용하는 것이 중요하며, 이를 위해 생성AI를 활용하는 것이 도움이 될 것”이라고 전했다.