키워드로 살펴보는 2022 보안 사고: ①공통, 기술 분야

8분

2023.01.06.

8.5K

2022년 사이버 보안은 랜섬웨어, 인공지능, 국가안보, 가상화폐라는 4가지 키워드로 정리할 수 있다. 그중에서도 락빗(LockBit), 콘티(Conti), 하이브(Hive)등 서비스형 랜섬웨어(RaaS, Ransomware as s Service)는 사이버 공격의 중심축으로 자리 잡고 있다. 여기에 가상화폐, NFT, 스테이블 코인 등 디지털 자산 시장은 세계 3위의 가상화폐 거래소 FTX 파산사태와 위믹스 상장폐지 등의 연이은 악재로 시장 불확실성을 넘어, 생태계 존립까지 위협받고 있는 상태다.

이러한 사이버 환경의 혼란 속에서도 인공지능, 클라우드, 블록체인 등 차세대 기술을 통해 많은 사람들이 보안 이슈 해결에 노력하고 있지만, 개인정보 침해 같은 인공지능 윤리 문제가 계속 제기되면서 사이버 생태계는 점점 더 얼어붙고 있다. 이와 관련해 총 2편에 걸쳐 2022년 보안 사고를 대표하는 4가지 키워드를 살펴보고, 사이버 보안을 강화할 수 있는 방안을 모색하고자 한다.

2022년 공통, 기술 분야 보안 사고

1) 공통 분야 보안 이슈: 랜섬웨어

2022년 사이버 보안은 랜섬웨어로 시작해서 랜섬웨어로 끝났다고 해도 과언이 아니다. 랜섬웨어는 블랙마켓과 가상화폐를 기반으로 랜섬웨어 공급자와 수요자가 은닉해 불법 거래 환경을 조성했다. 사이버 공격 피해기관 및 조직의 중요 데이터 유출과 판매를 통해 현금화 과정을 거치는 기존 공격방식에 반해, 피해자에게 직접 가상화폐를 받는 랜섬웨어는 별도의 현금화 과정 없이도 동일한 공격 효과를 얻을 수 있어 사이버 공격 전반의 패러다임을 변화시켰다.

랜섬웨어는 공격 절차 3단계를 통해 공격기법 및 주요 특징을 분석할 수 있다. 먼저 정보수집 및 타깃 설정 단계에서는 공격 대상의 다양화와 국내 타깃형 공격을 사용했다. 2022년 랜섬웨어 공격은 공공기관, 민간기업, 의료기관, 금융기관, 교육기관, 제도기업 등 다양한 산업 분야에 발생했으며, 코로나 팬데믹 발생 이후 의료기관의 의료정보 유출 및 랜섬웨어 공격이 빈번해지면서 피해사례 공유 및 보안 인식 제고에 힘쓰고 있다.

또한 국내 타깃형 랜섬웨어 공격도 주목해야 한다. 귀신(Gwisin), 매스스캔(Masscan), 매기(Maggie) 등은 국내 정부 기관이나 기업을 목표로 활동하는 대표적인 랜섬웨어 공격사례이다.

귀신 랜섬웨어는 웹 취약점을 통해 내부 시스템에 접근하고 랜섬웨어를 감염시키거나, 보안장비 회피 및 국내 보안 솔루션의 취약점을 악용하며 국내 타깃형 랜섬웨어의 대표주자로 떠오르고 있다. ISMS-P, PIMS 등 국내에서만 운영되는 국내 정보보호 및 개인정보보호 관리체계 미흡을 지적하는 랜섬노트를 제공할 뿐만 아니라, 국내 경찰 및 한국인터넷진흥원에 신고해도 도움받지 못하니 신고하지 말라고 명시한다. 이는 침해사고 신고기관 및 수사기관의 도움을 차단하려는 목적이다.

국내 콜택시 관리업체 서버를 공격해 전국 30여개 지자체의 콜택시 마비 대란을 유발한 매스스캔 랜섬웨어는 취약한 데이터베이스 서버나 NAS를 공격하여, 다른 타깃형 랜섬웨어와 함께 국내 공격 범위를 확대하고 있다.

그다음 공격 접점 확보 단계에서는 사회공학적 기법 및 취약점 등을 악용한 공격을 수행한다. 카카오 화재로 인한 주요 서비스 대응 현황 및 업데이트 파일로 위장한 스피어 피싱 공격을 수행하거나, 이태원 참사의 정부 사고대응 보고서로 위장한 악성코드 배포하는 등 국가 주도형 사이버 공격에서 국내 사회 이슈를 악용한 사례가 다수 포착되었다. 더불어 소프트웨어 업체 아틀라시안(Atlassian)의 제품군이나 마이크로소프트가 IT 서비스의 종합관리를 위해 제공하는 액티브 디렉터리(AD, Active Directory), 원격 접속을 위한 원격 데스크톱 연결(RDP), 가상 사설망(VPN) 등의 취약점도 꾸준히 악용되는 스테디셀러다.

공격 도구는 양극화 추세를 보이고 있다. 오픈소스 레파지토리에서 쉽게 구할 수 있는 크리덴셜 탈취 도구인 미미카츠(Mimikatz), 침투 테스트 도구인 메타프리터(Meterpreter) 이외에도 원격접근 제어 도구인 FRP(Free Reverse Protocol)와 LCX(Htran라고도 명명) 등을 주로 사용한다. 무료로 사용이 가능한 오픈소스 도구와 반대로, 유료 구매가 필요한 코발트 스트라이크(모의해킹 도구)를 활용한 공격 피해가 급증하면서, 22년 11월 구글은 2012년부터 발표된 코발트 스트라이크 34종에 대한 탐지 룰 YARA를 공개했다.

마지막으로 공격 수행 단계에서는 다중협박 전략과 보안 기능 회피를 수행한다. 파일 및 디스크 암호화만 하던 기존의 랜섬웨어 공격방식에서 벗어나, 데이터 유출과 파일 암호화를 병행했다. 이렇게 유출한 데이터 공개를 빌미로 협박하고, 유리한 협상 조건을 이끌어내는 것이다. 무리한 금액을 요구하면 협상 자체가 결렬되므로, 조직규모에 맞는 맞춤형 협상 금액을 제시하며 피해 금액 극대화를 도모하고 있다.

또한 랜섬웨어 기능 분석을 저해하기 위한 회피기법 역시 고도화되고 있다. 랜섬웨어 실행을 위한 별도의 트리거를 만들어 별도의 인자 값이나 파일이 존재하는 경우에만 구동되거나, 이벤트 로그 삭제 및 백업파일 삭제 등 고도화된 사이버 공격방식을 표방한다.

2) 기술 분야 보안 이슈: 인공지능 역기능

인간의 지적 능력을 구현한 인공지능은 상황인지 및 판단 수준을 넘어, 창의성까지 제공하고 있다. 금융, 의료, 행정, 농업, 예술 등 사회 전반에 걸쳐 저비용으로 고효율성과 고효용성을 발휘하며, 다양한 사회 이슈와 문제 해결 방안으로 활용된다.

인공지능 기술 발전에 따른 긍정적인 효과를 극대화하기 위해, 21년 관계부처 합동으로 ‘사람이 중심이 되는 인공지능을 위한 신뢰할 수 있는 인공지능 실현 전략’을 발표했다. 이는 신뢰 가능한 인공지능 구현 환경 조성, 안전한 인공지능 활용을 위한 기반 마련, 사회 전반에 건전한 인공지능 의식 확산이라는 추진 전략을 통해 누구나 신뢰할 수 있는 인공지능, 모두가 누릴 수 있는 인공지능 구현(Trustworthy AI for Everyone)의 비전을 제시했다.

그러나 빛이 있으면 그림자도 있는 법이다. 혁신의 중심에서 새로운 시장을 주도하는 인공지능이지만, 기술 발전으로 인한 부정적인 측면도 발견되었다. 정보 양극화 심화 문제나 개인정보 및 사생활 침해 등 인공지능으로 인한 위험과 부작용이 나타나는 것이다.

인공지능은 학습을 통해 지식을 얻는 귀납적 추론 과정으로 구현되기 때문에, 인간의 대화를 모방하는 인공지능 챗봇 서비스는 불완전성으로 인한 역기능도 잘 드러난다. 예를 들어, 마이크로소프트의 챗봇 테이가 백인우월주의나 여성혐오 표현을 학습하자, 출시된 지 16시간 만에 서비스가 중단되었으며, 스캐터랩의 챗봇 이루다는 성희롱 문제나 인종차별 등의 혐오 발언으로 인해 20일 만에 서비스 운영을 종료하기도 했다. 이처럼 차별과 혐오 데이터 학습 문제는 데이터 편향보다 심각한 결과를 초래할 수 있다.

한편 맞춤형 서비스에서도 인공지능 알고리즘 조작 문제가 드러나고 있다. 네이버나 쿠팡은 상품노출 우선순위 알고리즘 조작 의혹 및 조작 여부가 확인되었으며, 카카오모빌리티나 배달 앱에서는 배차 알고리즘을 조작하는 등 플랫폼 서비스들의 인공지능 조작 의혹은 고스란히 플랫폼 이용자들의 피해로 이어지고 있다.

이러한 인공지능 역기능을 해결하기 위해 신뢰할 수 있는 학습 데이터 셋을 확보하고, 학습 데이터의 신뢰성을 평가하는 구체적인 평가 지표와 측정 방안이 필요하다. 또한 인공지능 블랙박스 문제에 따른 결과 모호성을 해소하는 기술적 대안도 필요하다. 다행히 최근 인공지능 연구소 Open AI에서 공개해 이슈가 된 ChatGPT 등을 이용해 부적절한 데이터를 제거하고, 피드백 과정을 통해 인공지능 역기능 문제를 해결하려는 연구가 활발하게 진행되고 있다.

인공지능 신뢰성 강화는 해당 기술을 활용하는 주체의 윤리 의식 제고도 중요하다. 주로 IT 기업을 중심으로 인공지능 기술 개발이 이뤄지므로, 민간 차원의 인공지능 윤리 의식 함양을 통한 사회적 책임이 수반되어야 한다.

이에 카카오는 ‘카카오 공동체 기술윤리 위원회’를 출범했고, 네이버는 사람을 위한 AI 개발 및 프라이버시 보호와 정보보안 등 5개 조항으로 구성된 인공지능 윤리준칙을 발표했다. LG에서도 인간 존중, 공정성, 안정성 등 5대 가치를 담은 조항 발표와 함께 ‘AI 윤리 점검 태스크 포스(TF)’를 신설했으며, 삼성전자는 인공지능 국제 컨소시엄 PAI 가입 등을 통해 인공지능 역기능의 문제를 준수하겠다는 의지를 보였다.

보안 사고 예방의 첫걸음, 사고원인 분석하기

디지털 전환과 기술의 발전으로 사이버 환경은 나날이 복잡해지고 있다. 공고하게 쌓아온 보안 체계를 무력화하기 위해 오늘도 공격자는 공격기법을 고도화하고 있을 것이다.

이렇듯 다양한 보안 난제 해결을 위해 인공지능이 활용되고 있지만, 인공지능을 적용한다고 해서 무조건 천하무적이 되는 것은 아니다. 인공지능 악성코드인 DeepLocker나 차별과 혐오를 학습한 챗봇과 같이 악용될 수 있는 소지가 있다. 그래서 법과 제도 정비 및 관련 규제 마련을 통한 기술 개발 같은 사회 전반의 노력이 꼭 필요한 시점이다. 다음 편에서는 2022년 사이버 보안의 남은 두 키워드 국가안보와 가상화폐에 대해 살펴보고자 한다.

로그인하고 자유롭게 의견을 남겨주세요.