SK쉴더스의 화이트해커 전문가 그룹인 이큐스트(EQST)는 보안 영역에서 인공지능(AI) 서비스 활용 방안에 대해 연구한 결과, 다양한 영역에서 활용이 가능하지만 현재로썬 기술적 한계로 여러 제한이 있었다고 밝혔다. 보안 영역에서 AI 활용성은 초·중급 정도 수준이어서 위협을 탐지하기 위한 보조도구로 쓰는게 적절하다고 했다.
20일 SK쉴더스는 2023년 상반기 주요 보안 트렌드 및 AI 보안 위협 전망을 공유하는 미디어 세미나를 열고 "보안 실무에서 주로 사용하는 '시나리오 모의해킹', '시큐어 코딩', '모바일 분석', 악성코드 분석' 등 4가지 분야에 생성형 AI를 도입해 활용도를 검증했다"며 이같이 밝혔다. 이날 발표를 맡은 이호석 이큐스트랩 담당은 "시나리오 모의해킹에서 AI 활용동가 60%, 시큐어 코딩은 50%로 집계됐다"며 "모의해킹 시나리오를 생성하거나 주요 프로그래밍 언어에 대한 분석에 AI 활용도가 높다는 뜻"이라고 설명했다.
이 담당은 "코딩은 사람의 언어보다 규칙적이고 변수가 적기 때문에 다양한 코딩언어에서 AI를 활용하기 쉬웠다"면서도 "메인 수단으로 AI를 사용하기는 어렵고 보조 수단으로 사용하는 것은 충분히 가능하다고 판단했다"고 했다. 예컨대 배송비 관련한 로직을 개발한다고 하면 배송비로 인해 손실이 나지 않는지 점검해야 하는데, 이처럼 복잡한 계산이 들어가는 것은 아직 AI 스스로 생각해내지 못한다는 것이다.
모바일 서비스의 보안 취약점을 점검하거나 악성코드를 분석하는데는 AI 활용도가 각각 30%, 20%로 집계됐다. 이 담당은 "모바일 분석은 실시간으로 해야 한다는 어려움이 있는데 AI가 아직 복잡하고 긴 코드는 이해하지 못했다"고 말했다.
이큐스트는 올해 하반기에는 ▲확장된 소프트웨어 공급망 공격 ▲랜섬웨어 시장 변화 ▲북한발 해킹 증가 ▲소프트웨어 취약점을 악용한 공격 ▲피싱 패턴의 다양화 등의 보안 위협이 있을 것으로 분석했다. 특히 '김수키', '라자루스' 그룹 등 대표 북한 해커 그룹이 특정 타깃을 목표로 하는 스피어 피싱과 악성코드 기능을 고도화시키고 있어 피해 규모가 커질 것이라는 전망이다.
이 담당은 "생성형 AI를 딥페이크 기술에 접목해 피해자의 목소리와 얼굴을 모방한 후 피싱 공격을 수행하는 행태도 늘어날 것으로 보인다"며 "AI 관련된 피싱 모델 패턴이 정교해지고 있다"고 했다. 피싱 패턴도 다양화될 것으로 전망되기 때문에, 출처가 불분명한 이메일이나 첨부파일을 실행하지 않도록 주의를 당부했다.
이큐스트는 상반기에 발생한 주요 해킹 사례, 업종별 침해사고 통계, 주요 공격 시나리오 등도 세미나에서 소개했다. 이재우 이큐스트 사업그룹장은 "확장된 공급망 공격, 대규모 랜섬웨어, 가상자산 공격 등 세 가지가 상반기 해킹과 관련한 주요 키워드"라고 했다.
이큐스트에 따르면 올해 상반기 공격 비율은 전년 대비 49.33% 증가했다. 그 중 기업의 기밀이나 개인의 금융 정보를 탈취하는 정보유출 침해사고가 30%로 가장 많이 발생했다. 특히 올해는 오래된 취약점을 활용한 대규모 랜섬웨어 공격이나 제로데이를 악용한 악성코드 감염사고가 증가하며 28%를 차지했다.
업종별 침해사고 발생 통계를 살펴보면 국내에서는 제조업에서 발생한 사고가 19%로 가장 높았다. 이는 제조업을 타깃으로 삼아 기업의 기밀 정보나 영업 정보를 탈취하기 위한 초기 침투 전문 브로커(IAB·Initial Access Broker)의 활동이 활발했기 때문으로 나타났다. 서비스업을 대상으로 솔루션 취약점을 악용한 공격도 늘었다. 국내에서는 제조업 다음으로 15%를 차지했으며, 국외 기준으로는 20%로 가장 많았다. 가상자산을 노리고 악성코드를 배포해 금융정보를 탈취하는 침해사고도 국내 12%, 국외 14%를 기록했다.
이 그룹장은 "랜섬웨어의 경우 악성코드 제작자들의 역할이 분업화·조직화되고 있어 위험성이 높아지고 있다"며 "전문적인 지식 없이도 손쉽게 공격을 시도해 금전적 이득을 취할 수 있는 생태계가 확립되고 있다"고 밝혔다. 최근 랜섬웨어 그룹들이 IAB를 비롯해 랜섬웨어 개발자, 웹 디자이너·개발자 등 역할을 분담해 공격을 세분화하고 있다는 것이다.
그는 "공급망 공격의 경우 사고가 발생하면 가장 파급력이 크고 소프트웨어와 하드웨어를 가리지 않고 발생하고 있다"고 했다. 특히 소프트웨어 공급망 공격은 소프트웨어 운영의 전 과정에 관여되는 특정 타깃만 감염시키면 이를 이용하는 하위 그룹에까지 큰 피해를 입힐 수 있다며 주의를 당부했다.