끊임없이 진화하는 사이버 보안 분야에서 보안 담당자들은 그 어느 때보다 힘겨운 한해를 보내고 있다. 위협 행위자들은 끊임없이 전략과 전술, 과정(TTP - tactics, techniques, and procedures)을 치밀하게 짜고 있어 한층 더 새롭고 복잡한 공격망을 지속적으로 만들어내며 적응력을 과시하고 있다. 이 변화의 근간에는 중대한 변화가 있다. 바로 위협 행위자들이 기술보다는 사람을 타겟으로 하는 아이덴티티(identity)에 우선순위를 두고 있다는 점이다. TTP의 세부 구성과 타깃 기술은 바뀔 수 있지만, 공격망에서 집중 타깃은 변함 없이 사람과 자격증명(identities)이 되고 있다.
이러한 변화를 보여주는 최근 공급망 공격 사례를 보면, 과거 소프트웨어 취약점에서 사회공학 기법인 피싱 수법을 이용한 사람에 대한 취약성으로 타깃이 변경된 것을 알 수 있다. 특히 이메일 피싱을 더욱 고도화 하고 성공률을 높이기 위해 첨단 생성형 AI까지 활용하고 있다. 이는 기술적 취약성을 노린 다기보다 사람의 행동을 조종하는 방향으로 공격의 중심이 변화하고 있는 추세를 보여준다.
2023년을 돌아보면 사이버 위협 행위자들이 멀티팩터(MFA) 등 보안 강화 조치에 대응하여 전술을 바꿀 능력·자원을 보유하고 있다는 사실이 재확인되고 있다. 2024년에는 이러한 위협이 사람 타깃 중심으로 지속적으로 변화할 전망이며, 공격망 타파를 위해서는 전혀 다른 접근방식을 취해야 할 것으로 판단된다.
그렇다면 주요 현안은 무엇인가?
프루프포인트 보안 전문가들은 현재 동향을 토대로 각 기업의 보안팀이 향후 1년간 직면할 문제와 시사점을 중심으로 참고할만한 전망을 제시했다.
1. 사이버 공격: 카지노는 빙산의 일각
사이버 범죄가 점점 디지털 공급망 업체들을 타깃으로 하고 있는 추세로, 특히 보안 및 ID제공업체에 대해 공격이 집중되고 있다. 피싱 캠페인을 포함한 공격적인 사회공학 기반 전략이 확산하고 있다. 이러한 전략을 실행한 단체로는 라스베이거스 카지노(Las Vegas casinos) 랜섬웨어 공격을 벌인 바 있는 Scattered Spider 그룹이다. 로그인 자격증명 정보를 갈취하기 위해 헬프데스크 직원을 피싱하고, 일회용 비밀번호 생성기(OTP) 피싱 코드로 MFA를 우회하는 것이 일반화 되고 있다. 이 전략이 공급망 공격에까지 쓰이면서 ID제공 벤더사(IDP vendors)에 침투해서 소중한 고객 정보 탈취를 노리고 있다. 2024년에도 그러한 공격적인 사회공학 전술이 횡행할 것으로 보이고, 기존의 데이터 생성 엣지 기기(edge device)와 파일전송 기기 외에 초기 침투 시도의 대상이 확대될 것으로 전망된다.
2. 생성형 AI: 양날의 검
ChatGPT, FraudGPT, WormGPT 등의 생성형 AI 도구가 기하급수적으로 증가하면서 성장 잠재력과 위험이라는 양날의 검을 보여주고 있지만, 사이버 보안을 우려하지 않을 수 없는 상황이다. 거대언어모델(LLM)이 주목받고 있지만, 오용에 대한 우려로 인해 2023년 10월 미국 대통령이 행정명령에 서명하였다. 지금 이 순간에도 위협 행위자들은 다른 전략을 생각 하고 있다. 왜 지금도 제대로 작동하고 있는 모델을 다시 생각 해봐야 할까? 자신의 보안 솔루션이 개선되는 순간 위협 행위자들은 자신들의 TTP를 바꾸려 할 것이다.
한편, 더 많은 업체들이 AI와 LLM을 회사의 제품과 프로세스에 반영해서 보안 서비스를 강화하려고 할 것이다. 전세계적으로 프라이버시 규제 기관과 고객들은 모두 한 목소리로 기술 기업들의 AI 정책을 요구할 것이고, 이에 각 기업의 책임 있는 AI 정책에 관한 발표를 보게 될 것이다. 현격한 실패 사례와 책임 있는 AI 정책 사례 모두 증가할 것으로 전망된다.
3. 모바일 기기 피싱: 새롭게 부상하고 있는 옴니채널 전략
2023년 주요 동향 중 하나는 모바일 기기 피싱이었고, 2024년에는 이 위협이 더욱 증가할 것으로 전망된다. 위협 행위자들은 전략적으로 피해자를 모바일 플랫폼으로 이동시켜 여기에 내재된 취약성을 악용하고 있다. 특히 피해자와의 대화를 통한 스미싱 등 대화형 공격이 급증했다. 멀티 터치(multi-touch) 캠페인은 사용자를 데스크탑이 아닌 모바일 기기로 유인하여 QR 코드와 사기 음성전화를 사용하게 하고 있다. 이렇게 하면 공격자 입장에서는 모바일 기기 피싱 공격이 쉬워지고, 기업 보안팀의 감지를 피해가는 효과가 있다.
4. 오픈소스 및 생성형 AI: 멀웨어 개발자들의 각축장
멀웨어 개발자들은 오픈소스 도구와 생성형 AI를 활용하여 더 많은 대상에게 접근할 수 있는 첨단 프로그래밍 기법을 만들어내고 있다. 그 결과 샌드박스, 엔드포인트 감지 및 대응(EDR) 등의 도구를 교묘하게 피할 수 있는 멀웨어가 확산하고 있다. SysWhispers 등의 무료 및 오픈소스 소프트웨어 접근이 가능해지면서 다양한 멀웨어 프로젝트가 고도화된 감지 우회 기능을 손쉽게 도입하고 있다. 이로 인해 미숙련 개발자들의 진입장벽이 낮아지고 있고, 이에 멀웨어 제품군도 더욱 증가하고 있는 양상이다.
5. ID 기반 공격 중심: 아킬레스 건
ID 기반 공격이 사이버 보안 공격을 주도하여 인간이 가지고 있는 본래의 취약성과 제한적 가시성이라는 약점을 파고들 것이다. 오랫동안 '공개된 사이버 보안 취약성(CVEs)'에 의존해 온 사이버 공격자들이 힘을 잃고 있다. 이제 방어자가 명심해야 하는 것은 새로운 진실은 'ID는 새로운 취약성'이라는 점이다. 각 기업 조직은 이제 인프라 강화가 아닌 저장된 자격증명 정보, 세션 쿠키, 액세스 키 등의 정보 보호와 권한계정(IDP 포함) 관련 설정오류 해결에 주력해야 한다. 인적 연계가 있는 공격망에는 신속하고 혁신적인 방어가 필요하다.
결론적으로, 2024년은 공격자들의 전략이 정교해지면서 많은 업무 과부화가 걸리면서 사이버 보안 담당자들에게는 쉽지 않은 한 해가 될 전망이다. 이렇게 진화하고 있는 사이버 위협에 대응하기 위해서는 선제적이고 상황에 따른 유연한 전략을 반드시 채택해야 한다. 또한, 인적 요소가 사이버 방어 관점에서 매우 중요한 연계 요소라는 점을 명확히 인지해야 한다. 보안 공격 환경이 변화하고 있는 상황에서 ID 기반 공격이나 생성형 AI 기반 공격, 모바일 기기 피싱 등의 다면적인 문제에 대한 대응은 물론, 디지털 영역을 확보하는 한편 공격망 타파를 강화하려면 강력한 회복력을 갖춘 보안 방어가 필수적이다.