내년 사이버공격 키워드 `국가 배후`…AI·공급망 취약점 주의

실시간
뉴스

보안

내년 사이버공격 키워드 '국가 배후'…AI·공급망 취약점 주의

디지털데일리 발행일 2024-12-31 13:17:07

김보민 기자

URL복사

[디지털데일리 김보민기자] 내년에도 국가 배후 사이버 공격이 거세질 전망이다. 특히 사이버 공격 '빅4(Big 4)'로 불리는 북한, 러시아, 중국, 이란을 중심으로 조직적 활동이 본격화될 것으로 예측된다.

보안업계에서는 이들 공격그룹이 인공지능(AI)과 공급망 취약점을 악용한 위협 활동을 전개할 가능성이 높다고 보고 있다. 국가 배후가 아니더라도, 이를 빙자한 저숙련 공격자들 또한 등장할 가능성이 높다는 관측도 제기되는 분위기다.

◆ IT 직원으로 잠입하고, 핵티비스트 활동 전개…보안 솔루션 우회도 가능

미국 국무부는 최대 500만달러 현상금을 걸고 북한 IT 노동자 및 회사 관련 정보를 공개 수배했다. [ⓒ국무부 엑스]

31일 보안업계에 따르면 2025년 사이버 공격을 관통하는 키워드는 '국가 배후'다. 올해 미국 대통령 선거, 러시아-우크라이나 전쟁, 크라우드스트라이크발 윈도 시스템 장애 등을 악용한 위협이 포착된 가운데 내년에도 유사한 동향이 이어질 수 있다는 취지다.

이러한 우려는 연말을 맞아 보안업계가 분석한 내년도 위협 분석 보고서에서도 드러나고 있다. 구글클라우드는 '떠오르는 위협: 사이버보안 예측 2025' 보고서를 통해 "지정학적 갈등은 전 세계 사이버 활동을 촉진해 더 복잡한 결과를 낳을 것"이라고 내다봤다.

사이버 환경에서 조직적으로 위협을 가하고 있는 대표적인 국가는 북한이다. 구글클라우드는 "북한 사이버 작전은 한국과 미국을 중심으로 정부, 국방, 교육 싱크탱크를 표적 삼을 전망"이라며 "정보기술(IT) 직원으로 위장해 공격 국가에 침투하거나, 암호화폐 도난을 통해 수익을 창출하는 행위 또한 이어질 것"이라고 강조했다.

북한이 IT 직원으로 위장한 사례는 예전부터 포착돼 왔다. 구글 맨디언트에 따르면 지난 2018년 활동을 시작한 'UNC5267'은 미국을 비롯한 서방 국가를 겨냥해 위장 취업을 이어왔다. 북한 신분을 속여 다양한 직책에 지원했는데, 대다수 100% 원격 근무가 가능한 업무였다. 코로나19 이후 원격 근무가 늘어난 IT 업계 분위기를 악용한 것으로, 2020년 10월부터 2023년 10월까지 창출한 수익은 680만달러(현 기준 약 100억원)에 달한다. 미 국무부는 이달 12일(현지시간) '정의에 대한 보상' 프로그램을 통해 북한 직원의 해외 송출은 물론 돈 세탁에 대한 제보를 요청하기도 했다.

아시아태평양 지역에서 암호화폐 투자가 증가하고 있다는 점 또한 북한에게 좋은 먹잇감으로 여겨지고 있다. 북한 배후 공격자들 중 일부는 이러한 점을 노려 아태지역 내 IT 직원으로 위장 취업하거나, 현지 암호화폐 거래소를 겨냥한 사이버 공격을 가하고 있다. 이와 관련해 지난 9월 미국연방수사국(FBI)은 경고문을 발령하기도 했다.

북한뿐만 아니라 러시아 배후 사이버 위협도 계속될 전망이다. 특히 우크라이나와의 전쟁이 계속되고 있는 만큼 러시아발 사이버 스파이 활동 및 공격, 정보 작전이 주가 될 가능성이 높다. 올해에도 우크라이나 군인들의 모바일 기기를 겨냥한 사이버 위협이 포착됐고, 주요 인프라 관계자들을 노린 위협 공표가 계속됐다. '사이버아미오브러시아_리본(CyberArmyofRussia_Reborn)'이라는 이름의 핵티비스트 활동도 이어진 바 있다.

중국, 이란 등 주요 국가 배후 활동도 지켜볼 부분이다. 특히 중국 배후 공격자들은 엔드포인트탐지및대응(EDR) 솔루션을 우회하고, 디지털 포렌식과 사고 대응을 피하는 맞춤형 멀웨어를 개발하는 데 특화돼 있다. 가상사설망(VPN) 게이트웨이 등 엣지 디바이스나 스위치 및 라우터 등 내부 네트워크 기기를 활용하기도 한다. 중국 공격자는 합법 서비스 내 악성 요소를 숨기는 '트로이목마'식 공격을 가해, 맞춤형 멀웨어를 배포하는 전략을 추진할 전망이다. 루트킷 등 멀웨어를 활용해 활동 증거를 숨기고 수사망을 피해가는 기법 또한 활용할 가능성이 있다.

◆ AI·공급망 공격에 방어자 '진땀'…"위협 횟수 증가 불가피"

안랩 시큐리티인텔리전스센터(ASEC)은 지난 6월 핵티비스트 그룹 '해크넷(HackNet)'과 '사이버아미오브러시아(CyberArmyofRussia_Reborn)'을 소개했다. [ⓒ안랩 ASEC 홈페이지]

그렇다면 내년에 국가 배후 공격자들의 위협 중 주의해야 할 기법은 무엇일까. 주요 보안기업들은 AI와 공급망 위협이 계속될 것으로 예측하고 있다. 특히 생성형 AI 서비스를 도입하거나, 직접 AI 기술을 개발한 뒤 사업에 적용하는 움직임이 두드러지고 있어, 피해 사례가 증가할 전망이다.

특히 AI 도구(툴)를 직접 사용하는 공격 동향이 두드러질 것으로 예측된다. 일반 사용자와 마찬가지로 거대언어모델(LLM)을 사용해 표적을 낚기 위한 피싱, 스미싱, 소셜네트워크서비스(SNS) 공격을 개발하고 확장할 가능성이 있다. 사이버 스파이의 경우 신원 도용은 물론 사기, 고객확인(KYC) 보안 요구 사항을 우회하고 코드 개발과 정찰 등에 LLM과 딥페이크 애플리케이션을 실험할 가능성도 점쳐진다.

정보운영(IO) 측면에서도 AI 툴이 적극 활용될 전망이다. 올해 동향에 따르면 공격자는 LLM을 통해 낚시성 콘텐츠를 제작하고, 사용자가 진위 여부를 구별하기 어려운 수준으로 기사 사이트를 만들거나 기사 내용을 직접 제작하고 있다.

공급망 차원에서도 공격이 거세질 전망이다. 국가 배후 사이버 공격그룹의 경우 표적 기관 및 기업뿐만 아니라 제2·3차 협력 및 파트너사를 겨냥하는 기법을 활용하고 있다. 소프트웨어(SW) 공급망을 표적 삼는 경우도 다수다. 구글클라우드는 북한 공격그룹을 조명하며 "지난해와 올해 SW 개발자를 대상으로 한 사회공학적 작전을 포착했다"며 "오픈소스 SW 패키지를 사용하는 등 공급망 타격에 중점을 두고 있고, 내년에도 유사한 전술이 이어질 것으로 예상한다"고 말했다.

국가 배후가 아니더라도, 저숙련 공격자들의 활동도 거세질 전망이다. 현재 국내외 환경에서는 생성형 AI 기술 및 서비스가 고도화된 이후 '보안 민주화'가 본격화됐다는 해석이 나오고 있다. 구글클라우드는 "국가 배후는 물론, 사이버 공격자들의 진입 장벽이 낮아지고 있어 방어자 입장에서 어려움이 계속될 것"이라며 "웹스키밍에서 다중요소인증(MFA) 우회에 이르기까지 서비스 전문화가 증가하면서 방어자들이 싸워야 할 위협 수 또한 증가할 수밖에 없을 것"이라고 예측했다.