2019년 사이버 보안 분야에서는 인공지능(AI)를 활용한 지능적인 공격이 가장 큰 우려로 떠오른다. 특정 사용자를 노리는 ‘표적공격’도 늘어날 것으로 전망되며, 5세대 이동통신(5G) 인프라가 본격적으로 설치되는 만큼 검증이 덜 이뤄진 새 라우터 장치 등을 통한 공격이 확산될 수 있다는 우려도 나타난다.

공격자·보안담당자 모두 AI 활용한다

최근 글로벌 보안기업 시만텍은 올해 나타난 보안 관련 데이터를 분석하고 올해를 전망하는 ‘사이버 보안 전망: 2019년과 그 이후’ 보고서를 발간했다. 

보고서에 따르면 2019년부터는 공격자들은 AI시스템 취약점을 공격할 것이라고 전망했다. 최근에는 수많은 비즈니스 운영 분야가 AI 기반 시스템으로 구축되고 있다. 수작업을 자동화하고 인간 활동을 개선하지만, 방대한 양의 데이터를 보유하고 있어 유망한 공격 타깃이 될 수 있다. 

특히 AI 시스템들이 악성코드 유입에 취약하고, 한 번 침투되면 피해가 막대할 것이라는 우려가 커지고 있다. AI를 믿고 방심할 수 있어서다.

아울러 보고서는 공격자들이 AI 기술을 활용한 공격 활동을 더욱 강화할 것이라는 분석도 제시했다. AI 기반 자동화된 시스템은 네트워크와 시스템을 탐색하고 취약점을 찾을 수 있다. 또 AI는 목표로 삼은 개인 사용자를 속일 목적으로 실제와 매우 유사한 동영상과 오디오, 또는 잘 제작된 이메일을 만들어 피싱과 다른 사회공학적 공격을 더욱 정교하게 만드는데 이용될 수 있다.  

AI는 인간보다 훨씬 빠르고 방대한 양을 연산할 수 있다. 최근에는 AI를 활용해 공격용 ‘툴킷’을 만들고, 온라인에서 판매하면서 공격자들이 새로운 위협을 상대적으로 쉽게 생성할 수 있다. 과거에는 고도로 개인화된 공격을 개발하는 작업이 노동 집약적이고 비용이 많이 들었는데, 이런 공격 개발을 자동화하는 툴과 함께 AI 기반 툴킷을 이용하면 각 표적 공격을 추가로 개발하는 데 필요한 비용을 크게 줄일 수 있다.

또 보호 프로그램 역시 반격과 취약점 파악을 위해 AI 의존도가 높아질 것이라고 보고서는 내다봤다. 현재 ‘위협 식별 시스템’은 이미 머신러닝 기법을 이용해 완전히 새로운 유형의 위협을 확인하고 있다. AI 위협 식별 시스템은 일정 기간 동안 기업 네트워크에서 일련의 시뮬레이션 공격을 자체적으로 실시하는 방식으로 검증한다. 

가정에서는 AI와 다른 기술들이 개인의 디지털 보안과 개인정보를 더욱 잘 보호할 수 있도록 도울 것이다. AI가 휴대폰에 내장돼 특정 행동이 위험을 초래할 경우 사용자에게 이를 경고할 수 있다. 예를 들어 새로운 이메일 계정을 설정할 때 휴대폰은 자동으로 이중인증(two-factor authentication)을 설정하라고 경고할 수 있다. 시간이 지날수록 이러한 보안 기반 AI는 사람들이 애플리케이션을 이용하거나 다른 부수적인 혜택을 얻는 대가로 개인정보를 포기할 때 연관된 득실을 잘 이해할 수 있도록 도움을 줄 수 있다.

SK텔레콤이 5G 기지국 장비를 설치하고 있다.

5G 확산에 따른 IoT기기 공격 우려

2019년은 5G 인프라가 본격적으로 설치되면서 새롭게 공격에 노출될 우려가 커진다. 

고정형 5G 모바일 핫스팟과 5G 지원 가정용 라우터들이 새로 설치되는데, 5G 사물인터넷(IoT) 기기들은 직접적인 공격에 더욱 취약하게 될 개연성이 크다고 보고서는 분석했다. 가정 사용자는 모든 IoT 기기가 중앙 라우터를 우회하기 때문에 모든 기기를 모니터링하는 것이 어렵다. 또 대량 데이터를 클라우드 기반 스토리지로 쉽게 백업 또는 전송할 수 있는 능력은 공격자에게 새로운 공격 타깃을 풍부하게 제공할 것이다.

빠른 속도를 기반으로 하는 분산서비스거부(DDoS) 공격이 더 확산될 우려가 크다. 5G IoT가 확산될수록, DDoS 역시 더욱 빠르고 강해질 수 있다는 전망이다. IoT 사물에는 자동차 와 같이 동력으로 움직이거나 배전망과 통신망처럼 주요 기반 시설을 제어하기도 한다. 이런 IoT 기기에 대한 공격이 증가할 것으로 예상된다. 또한 가정용 IoT 기기가 더욱 보편화되면서 미래에는 이러한 기기를 무기화하는 공격 시도가 있을 수 있다.

소포스는 ‘2019년 위협 전망 보고서’를 통해 모바일과 IoT 멀웨어 위협이 지속될 것이라고 전망했다. 가정과 기업에서 인터넷 기반 장치 사용이 점점 늘면서 공격자들은 이런 기기들을 해킹해 대규모 봇넷 공격 노드로 이용할 새로운 방법을 개발하고 있다고 보고서는 분석했다. 

실제 2018년 VPN필터 멀웨어는 뚜렷한 유저 인터페이스가 없는 임베디드 시스템과 네트워크 기기, 라우터 50만개를 감염시키기도 했다. 

소포스 관계자는 “가정과 기업에서 인터넷 기반 장치 사용이 점점 늘면서 범죄자들은 이런 기기들을 해킹해 대규모 봇넷 공격 노드로 이용할 새로운 방법을 개발하고 있다”면서 “엘스웨어(Elsewhere)와 미라이 에이드라(Mirai Aidra), 와이패치(Wifatch), 가프짓(Gafgyt)은 네트워크 기기를 해킹하고, 봇넷 노드를 사용해 디도스(DDoS: 분산서비스 거부) 공격과 암호화폐 채굴과 네트워크 침투 같은 광범위한 자동화 공격을 감행했다”고 설명했다. 

샘샘(SamSam)에서 끼친 랜섬웨어 피해 규모가 3년간(2016~2018년) 약 650만 달러로 집계됐다(출처=소포스)

표적형 사이버 공격 증가…클라우드·사회 인프라도 조심해야

아울러 소포스는 ‘표적형 사이버 공격’에 의한 재산 피해가 늘어날 것이라고 분석했다. 

과거에는 공격자들이 수백~수천만 개 이메일을 자동으로 배포하는 ‘스프레이 앤 프레이(spray and pray)’ 방식을 사용했지만, 최근에는 사람이 직접 표적을 포착하고 골라내 직접 메일을 전달하는 ‘표적형 랜섬웨어 공격’이 등장했다.

이미 개인 정보를 알고 시도하는 공격이기에 봇(bot)이 무작위로 전달하는 방식보다 훨씬 피해가 크다고 보고서는 설명했다. 

표적형 공격은 공격자가 수동으로 방화벽을 우회하고 백업 데이터를 지우며 네트워크를 단계별로 조작한다. 이런 표적형 공격을 주로 하는 크래커 집단은 샘샘(SamSam)과 비트페이머(BitPaymer), 다르마(Dharma) 등이 있다. 

조 레비 소포스 CTO는 “이들 사이버 범죄자들은 특정 표적을 노리던 엘리트 해커와 일반적인 멀웨어 전달자 사이에서 태어난 새로운 종류의 해커들”이라며 “이들은 스파이 활동이나 사보타지 목적이 아니라 불법 수익을 지속하기 위해 수동 방식 해킹기술을 사용해 피해 규모를 늘려가고 있다”고 말했다.

보안기업 팔로알토네트웍스는 2019년 보안이슈에 대해 클라우드 위협 증가와 사회 인프라 공격 확산을 꼽았다.

팔로알토 측은 “클라우드로 전환은 중요한 비즈니스 데이터와 시스템을 써드파티 사업자와 공유함을 의미한다”면서 “결국 클라우드 보안은 서비스 사업자가 단독으로 책임질 수 없으며, 데이터, 애플리케이션, 운영 체제, 네트워크 구성 같은 보안 문제를 해결해야 하는 기업과 책임을 공유해야만 한다”고 지적했다.

이런 상호 연결된 에코시스템이 보안을 훨씬 더 복잡하게 만들고, 특히 보안 인력을 관리하고 제품을 취급해야 하는 기업들은 더 큰 어려움을 겪는다고 팔로알토 측은 설명했다. 

팔로알토는 또 기간 설비와 공공 자원을 의미하는 사회 주요 인프라 범위가 금융 서비스, 통신, 미디어 같은 영역으로 확대될 것이라고 우려했다. 

주요 인프라가 디지털로 전환되고 자동화됨에 따라 기업과 산업 네트워크 교류가 늘어나고, 더 공격당하기 쉬운 사이버 범죄 타깃이 된다는 설명이다. 특히 패치가 어려운 레거시 시스템에 의존하는 SCADA(집중 원격감시 제어시스템)와 ICS(산업제어시스템) 등이 위험에 노출되고 있으며, 이러한 시스템을 주로 사용하는 에너지와 수자원관리, 대중교통 같은 영역에 다양한 사이버 위협이 발생할 것으로 전망했다. 

[테크M=김태환 기자(kimthin@techm.kr)]