원격 근무와 디지털 협업이 일상화되면서 줌(Zoom), MS 오피스(Office), 챗GPT(chatGPT) 등 온라인 생산성 도구를 노린 사이버 공격이 급증하고 있다. 특히 AI 서비스의 인기가 높아지며 이를 사칭한 악성코드 유포가 늘어나고, 중소·중견기업이 주요 표적이 되고 있다. 

글로벌 사이버 보안 기업 카스퍼스키(지사장 이효은)가 올해 중소·중견기업 사용자를 대상으로 한 사이버 공격 사례 중, 주요 온라인 생산성 도구로 위장된 공격이 약 8500건에 달했다고 4일 밝혔다.

가장 일반적인 미끼는 줌과 MS 오피스였으며, 챗GPT와 딥시크(DeepSeek) 등 새로운 AI 기반 서비스도 공격자에 의해 점점 더 많이 악용되고 있다. 

챗GPT·딥시크로 가장한 사이버 공격

카스퍼스키 분석가는 중소·중견기업에서 자주 사용되는 합법적인 애플리케이션으로 위장된 악성코드 및 원치 않는 소프트웨어의 빈도를 확인하기 위해 12개의 온라인 생산성 앱을 샘플로 분석했다. 그 결과, 4천 개 이상의 고유한 악성 파일과 비정상 파일 인기 앱을 가장한 형태로 나타났다. 특히 AI 서비스의 인기가 높아지면서, 사이버 범죄자들이 악성코드를 AI 도구로 위장하는 사례도 점점 증가하고 있다.

특히, 챗GPT를 사칭한 사이버 위협은 올해 1~4월 사이 전년 동기 대비 115% 증가했으며, 해당 기간 동안 177개의 고유한 악성 파일과 비정상 파일이 탐지됐다. 또 딥스크도 83개의 파일에서 위장 대상으로 등장했다. 이 대형 언어 모델은 올해 출시되자마자 공격자들의 위장 대상 목록에 포함됐다.  

올해 주목해야 할 또 다른 사이버 범죄 전술은 협업 플랫폼 브랜드를 악용해 사용자가 악성코드를 다운로드하거나 실행하게 만드는 방식이다. 줌을 사칭한 악성코드 및 원치 않는 소프트웨어 파일 수는 약 13% 증가하여 1652건에 이르렀으며, MS 팀즈(Teams)는 206건(100% 증가), 구글 드라이브(Google Drive)는 132건(12% 증가)을 기록했다. 

이러한 추세는 원격 근무 및 분산된 팀 환경의 일상화되면서 다양한 산업군에서 이러한 플랫폼이 업무 운영의 필수 요소가 됐음을 시사한다. 

샘플 분석 결과, 가장 많은 수의 파일이 줌을 사칭했으며, 탐지된 모든 고유 파일의 약 41%를 차지했다. MS 오피스 응용 프로그램은 여전히 모방 공격의 주요 대상이었다. 아웃룩(Outlook)과 파워포인트(PowerPoint)는 각각 16%, 엑셀(Excel)은 약 12%, 워드(Word)와 팀즈(Teams)는 각각 9%와 5%를 차지했다. 

중소·중견기업 타깃 공격

한편, 올해 중소·중견기업 대상 주요 위협 요소는 다운로더, 트로이목마, 애드웨어 등이었다.

악성코드 외에도, 중소·중견기업을 타깃으로 한 다양한 피싱 및 사기 사례가 지속적으로 발견되고 있다. 공격자들은 택배 플랫폼부터 은행 시스템까지 다양한 서비스의 로그인 자격 증명을 훔치거나, 피해자가 돈을 송금하게 만드는 속임수 전술을 사용한다. 

대표적인 사례로는 구글 계정을 대상으로 한 피싱이 있다. 공격자는 피해자에게 자사 광고를 X(옛 트위터)에 게시해 매출을 늘려주겠다고 제안하며, 자격 증명 탈취를 시도한다. 또한 스팸 이메일에도 대량 노출되고 있다. AI도 스팸에 등장하고 있으며, 업무 자동화 서비스를 제안하는 내용이 대표적이다. 

카스퍼스키는 일반적으로 소규모 기업의 전형적인 니즈를 반영한 피싱 및 스팸 콘텐츠가 유포되고 있다고 분석했다. 예를 들어, 이메일 마케팅, 대출 조건, 평판 관리, 콘텐츠 제작, 리드 생성 등의 매력적인 조건을 내세우는 서비스들이 있다. 

카스퍼스키는 기업을 대상으로 한 위협을 완화하기 위해 기업 소유주와 직원들에게 다음과 같은 조치를 시행할 것을 권장한다.

우선 클라우드 서비스에 대한 가시성과 통제권을 제공하는 전문 사이버 보안 솔루션을 사용하는 것이 안전한다. 또한, 이메일 계정, 공유 폴더, 온라인 문서 등 기업 자원에 대한 액세스 규칙을 정의하고 중요한 데이터를 정기적으로 백업해야 한다. 외부 서비스 사용에 대해 명확한 지침을 수립하고 IT 부서 및 관련 책임자들과 협력해 새로운 소프트웨어 도입을 위한 명확한 절차를 수립할 것을 권장한다.

카스퍼스키 바실리 콜레니코프 보안 전문가는 “흥미로운 점은 공격자들이 AI 도구를 미끼로 선택할 때 상당히 선별적이라는 것이다. 예를 들어, 퍼플렉시티를 사칭한 악성 파일은 발견되지 않았다. 공격자가 악성코드 및 원치 않는 소프트웨어를 위장할 도구로 선택하는 기준은, 해당 서비스의 인기와 화제성이 직접적으로 좌우한다. 도구에 대한 대중의 관심이 많을수록, 사용자가 인터넷에서 가짜 설치 파일을 마주칠 가능성도 커진다. 따라서, 중소·중견기업 직원뿐 아니라 일반 사용자도 인터넷에서 소프트웨어를 찾거나 지나치게 ‘좋은 조건’의 구독 제안을 받을 때 주의를 기울여야 한다. 특히, 웹사이트 주소나 이메일의 링크 철자를 항상 꼼꼼히 확인해야 한다. 많은 경우 이러한 링크는 피싱이거나, 악성코드 및 원치 않는 소프트웨어를 다운로드하도록 유도하는 경로일 수 있다.”라고 말했다. 

카스퍼스키 이효은 한국지사장은 “중소·중견기업은 다양한 사이버 공격으로부터 지속적으로 심각한 위협을 받고 있다. 이런 위협에 맞서려면 전 직원의 보안 인식을 강화하고, 카스퍼스키 넥스트(Kaspersky Next)와 같은 전문 보안 솔루션을 도입해 클라우드 환경에 대한 가시성과 제어력을 강화해야 한다. 동시에, 데이터 접근 권한을 엄격히 설정하고, 정기적인 백업 체계를 마련하며, 외부 서비스 접근 절차를 표준화해야 기업의 사이버 방어 체계를 단단히 구축할 수 있다.”라고 말했다.