파비오 프라투첼로 크라우드스트라이크 글로벌 필드 최고기술책임자(CTO)는 "최근 기승을 부리고 있는 사이버 공격은 25년 전에도 존재했지만, 생성형 AI의 등장으로 해커의 공격 횟수가 급증하고 보안망이 뚫리는 속도가 기하급수적으로 빨라졌다"면서 이같이 말했다. 해커들이 AI를 무기화해 악성코드 개발, 취약점 분석, 계정 탈취 등을 자동화하면서 더 신속하고 광범위한 공격을 단행하고 있다는 설명이다.
크라우드스트라이크(CrowdStrike)는 미국 나스닥에 상장된 사이버 보안 기업이다. 클라우드, 엔드포인트 탐지, 신원(ID) 보안에 특화된 보안 기술을 기반으로 지난 2011년 설립 이후 빠르게 성장했다. 지난해 매출은 30억6000만달러(약 4조4000억원)로 전년 대비 약 36% 증가했다. JP모건, 뱅크오브아메리카(BoA), 아마존, 엔비디아 등 포천 500대 기업의 절반 이상을 고객사로 두고 있다.
프라투첼로 CTO는 최근 조선비즈와의 인터뷰에서 "해커들의 공격 주기가 빨라지면서 기업과 기관의 방어 부담이 커지고 있다"며 "기업들도 이에 맞서 선제적으로 통합된 AI 중심 방어 체계를 구축해야 한다"고 말했다.
그는 잇따른 랜섬웨어 공격으로 재규어 랜드로버, 막스앤스펜서 등 글로벌 기업에 막대한 피해를 입힌 '스캐터드 스파이더'라는 사이버 범죄 조직을 AI를 효과적으로 무기화하는 해커의 예시로 들었다. 프라투첼로 CTO는 "이 조직은 최근 24시간 만에 랜섬웨어 공격을 완료했는데, 1년 전 동일한 공격을 수행하는 데 약 3일이 걸렸다는 점을 감안하면 속도가 놀라울 정도로 빨라졌다"고 말했다. 스캐터드 스파이더는 단 2분 만에 탈취한 계정을 이용해 기업 시스템에 접속한 뒤 다중인증(MFA) 설정을 변경해 담당 직원의 알림 기능을 비활성화했다. 그는 "과거에는 이런 공격이 수일에서 수주에 걸쳐 이뤄졌다"며 "그러나 해커들이 AI를 무기화하면서 이제는 동일한 공격을 빠르면 2시간 이내에 수행할 수 있게 됐다"고 했다.
프라투첼로 CTO는 위협 행위자를 특정 국가나 정권의 이익을 위해 일하는 국가 배후(nation-state) 해커 집단, 돈벌이가 목표인 기업형 사이버 범죄자(e-crime), 이념적인 이유로 공격을 수행하는 집단인 핵티비스트(hacktivist)까지 크게 3개 집단으로 분류했다. 특히 중국, 북한 등의 국가 배후 해커와 금전적인 이득을 노리는 사이버 범죄 조직이 공격 성공률을 높이기 위해 AI를 다양한 형태로 악용하고 있다고 지적했다.
대표적으로 북한 해커조직 '페이머스 천리마'는 북미·서유럽·동아시아의 대기업에 소프트웨어 개발자로 위장 취업하는 방식을 활용해 지난해에만 320여개사에 침투했다. 위장 취업 성공률은 전년 대비 220% 증가했다. 프라투첼로 CTO는 "천리마는 AI 도구로 가짜 링크드인 프로필과 이력서를 만들어 다수의 회사에 취업했다"며 "온라인 면접에서도 딥페이크 기술로 목소리와 영상을 변조했고, AI로 면접 질문을 실시간으로 분석해 답변을 생성했다"고 설명했다.
크라우드스트라이크는 최근 발간한 '위협 분석 보고서'에서 천리마를 언급하며 "이들은 지난해 가장 활발하게 활동한 해커 조직 중 하나로, 다른 국가 연계 세력의 작전 속도를 크게 앞질렀다"고 분석했다.
프라투첼로 CTO는 북한 해커들의 위장 취업이 첩보 활동보다는 금전적인 동기가 크다는 점에서 다른 국가 연계 조직과 차별화된다고 평가했다. 그는 "중국이나 러시아 연계 해커들은 기업이나 조직에 침투한 뒤 오랫동안 조용히 숨어 지내며 정보를 수집하거나 타국의 여론을 조작하는 데 주력한다"며 "반면 국제 사회의 제재를 받고 있는 북한은 위장 취업으로 첩보 활동도 하지만, 외화벌이를 하려는 동기가 매우 강하게 작용한다"고 했다.
그는 AI 도구가 갈수록 발전하면서 향후 2~3년 내 AI 모델과 AI 기반 인프라를 겨냥한 공격이 크게 늘어날 것이라고 전망했다. "AI 모델의 파라미터(매개변수)나 학습 데이터를 훼손해 오작동을 일으키거나 비공개여야 할 민감한 데이터나 시스템 정보를 노출시키도록 유도하는 해킹이 등장할 것으로 예상한다."
클라우드 인프라를 노린 공격도 꾸준히 늘어날 것이라고 봤다. 지난해 해커들의 클라우드 침해 공격은 전년 대비 136% 증가했는데, 이 중 40%는 중국 연계 공격 세력이 주도했다. 그는 "기업의 주요 데이터가 대부분 클라우드에 저장되어 있고 이제는 AI 모델도 클라우드에서 운영되고 있어 공격자들이 호시탐탐 노리고 있다"며 "특히 중국 연계 해커 조직의 클라우드 침투 시도는 앞으로도 계속 증가할 가능성이 높다"고 했다.
국내 기업과 정부 기관도 연초부터 연쇄적으로 해킹 공격을 받아 개인정보 유출 등의 피해를 입었다. 지난 4월 2300만명의 고객 정보가 유출된 SK텔레콤, 기지국과 서버가 해킹된 KT, 랜섬웨어 공격을 받은 예스24·SGI서울보증·웰컴금융그룹 등까지 연이어 대형 해킹 사고가 터졌다. 최근에는 LG유플러스까지 서버 해킹 정황을 정부에 신고하면서 통신 3사가 올해 모두 사이버 공격에 뚫린 것으로 드러났다.
프라투첼로 CTO는 한국 기업들이 지정학적으로 북한, 중국과 가깝다는 점을 고려해 보안 전략을 세워야 한다고 조언했다. 공격자들이 국가 배후 세력부터 금전이 목표인 기업형 조직과 개인까지 다양할 수 있기 때문에 업종별로 어느 공격자의 타깃이 될지 위협 프로파일부터 파악한 뒤 적합한 솔루션을 도입해야 한다는 것이다. 그는 "최근 만난 한국 기업들은 클라우드, 엔드포인트, 온프레미스 신원 등 여러 도메인이 동시에 공격을 받는 크로스 도메인 공격에 대한 고민이 많았는데 이에 대응할 수 있는 통합 보안 체계가 필요하다"고 했다.
특히 신원(ID)이 기업 보안의 첫번째 방어선이 된 만큼, 국내 기업들도 관련 투자를 확대해야 한다고 강조했다. 그는 "내부자의 계정 정보나 자격 증명을 탈취하면 공격자는 굳이 시스템을 뚫을 필요가 없고 로그인만 해서 손쉽게 악성코드를 심을 수 있다"며 "공격자가 신원을 탈취한 뒤 시스템에 침입할 경우 탐지 및 대응(DR)도 어려워진다"고 지적했다.
크라우드스트라이크는 갈수록 고도화되는 AI 기반 사이버 공격에 대응하기 위해 AI DR(탐지 및 대응) 기술을 강화하고 있다고 밝혔다. 그 일환으로 지난 9월 AI 보안 기업 판지아를 2억6000만달러에 인수했다. 판지아는 생성형 AI를 표적으로 하는 '프롬프트 주입 공격'에 대응할 수 있는 보안 기술을 갖추고 있다.
그는 "AI는 양날의 검으로, 어떻게 사용하느냐에 따라 공격 도구가 될 수도 있고, 강력한 방어 수단이 될 수 있다"며 "크라우드스트라이크는 AI DR라는 새로운 보안 기술 영역을 개척하고, 보안 아키텍처를 개선하기 위한 인수합병(M&A)도 지속할 것"이라고 했다.