보안

[2019년 전망] 지능적 사이버 공격 통로로 급부상하는 ‘AI∙IoT’

발행일시 : 2018-12-17 13:08

전세계적으로 유명한 많은 기업이 올해 심각한 보안 침해 피해를 입었다. 마케팅 및 데이터 수집 기업 이그잭티스(Exactis)에서 약 3억4,000만 건의 개인정보 기록이 저장된 데이터베이스가 유출된 사례가 단일 데이터 유출 사고로는 가장 큰 규모일 것으로 보고 있다.

흔한 기업 공격 외에도 올해는 광범위한 표적과 피해자를 겨냥한 위협 활동이 가속화되었다. SNS 분야에서 페이스북은 해커들이 약 3천만 명의 사용자 정보를 탈취한 것으로 추정하고 있다. 정부의 지원을 받는 공격 집단은 기업 기밀에서부터 민감한 정부 및 인프라 시스템에 이르는 모든 것에 접근하기 위해 사이버 탐색(cyber probe)과 공격을 이용하고 있으며, 이러한 집단이 증가하고 있다. 개인 사용자 측면에서는 언더 아머(Under Armour)의 마이피트니스팔(MyFitnessPal) 건강 추적기의 계정 유출로 인해 1억5천만 명의 개인 데이터가 탈취되었다.

시만텍에서는 올해 발생했던 보안 사고들을 참고로 2019년과 그 이후 기업, 정부 및 개인에 영향을 미치게 될 주요 동향과 활동을 발표했다.

AI, 유망한 공격 대상으로 떠올라

AI 시스템은 수작업을 자동화하고 의사 결정 및 인간의 다른 활동을 개선하는데 도움을 주지만, 많은 AI 시스템에는 방대한 양의 데이터가 있어유망한 공격 대상으로 주목받고 있다.

AI 시스템이 시스템의 로직을 손상시키고 운영에 영향을 미칠 수 있는 악성코드의 유입에 취약하다는 우려도 높아지고 있다. 2019년에는 일부 AI 기술이 가진 취약성에 대한 우려가 커질 것이다. 중요한 AI 시스템이 공격 타깃이 되는 것은 20년 전 인터넷이 등장했던 당시 관찰됐던 일련의 사건과 유사할 것이다. 특히 당시 인터넷은 인터넷 기반 전자상거래의 폭발적인 증가 이후 빠른 속도로 사이버 범죄자와 해커의 관심을 끌었다.

공격자들은 AI 시스템만 겨냥하지 않을 것이다. AI 기술 자체의 힘을 빌려 공격 활동을 더욱 강화할 것이다. AI 기반의 자동화된 시스템은 네트워크와 시스템을 뒤져 아직 발견되지 않았지만 악용될만한 취약점이 있는지 찾을 수 있다. 또한 AI는 목표로 삼은 개인 사용자를 속일 목적으로 실제와 매우 유사한 동영상과 오디오, 또는 잘 제작된 이메일을 만들어 피싱 및 다른 사회공학적 공격을 더욱 정교하게 만드는데 이용될 수 있다. 더불어 AI는 사실과 같이 보이는 허위정보 캠페인에 이용될 수 있다.

예를 들어, 한 기업의 CEO가 대규모 금융 손실, 심각한 보안 침해 또는 기타 다른 중대한 소식을 발표하는 실제 있을법한 가짜 동영상을 AI가 만들어낼 수 있을 것이다. 이런 가짜 동영상이 대대적으로 퍼지면 진실이 알려지기 전 해당 기업에 큰 영향을 미칠 수 있다.

공격 툴킷이 온라인에서 판매되면서 공격자들이 새로운 위협을 쉽게 만들 수 있게 됐다. 결국 초보의 공격자도 정교한 표적 공격을 감행할 수 있게 하는 AI 기반 공격 툴이 나타날 것이다.

[2019년 전망] 지능적 사이버 공격 통로로 급부상하는 ‘AI∙IoT’

보안 프로그램도 대응 및 취약점 파악위해 AI에 의존

위협 식별 시스템은 이미 머신러닝 기법을 이용해 완전히 새로운 유형의 위협을 확인하고 있다. 이에 보안 담당자들도 AI를 이용해 공격에 대한 방어체계를 강화할 수 있다. AI 기반 시스템은 반복적인 공격을 통해 취약점을 우연히 발견해 공격자에게 발견되기 전에 조치를 취할 수 있도록 일정 기간 동안 기업 네트워크에서 일련의 시뮬레이션 공격을 실시할 수 있다.

가정에서는 AI와 다른 기술들이 개인의 디지털 보안과 개인정보를 더욱 잘 보호할 수 있도록 도울 것이다. AI가 휴대폰에 내장되어 만약 특정 행동이 위험한 경우 사용자에게 이를 경고할 수 있을 것이다. 예를 들어 새로운 이메일 계정을 설정할 때 휴대폰은 자동으로 이중인증(two-factor authentication)을 설정하라고 경고할 수 있다. 시간이 지날수록 이러한 보안 기반 AI는 사람들이 애플리케이션을 이용하거나 다른 부수적인 혜택을 얻는 대가로 개인정보를 포기할 때 연관된 득실을 잘 이해할 수 있도록 도움을 줄 수 있다.

5G 가속화로 확장되는 공격영역

IDG는 2019년을 5G 측면에서 ‘중대한 해’가 될 것이라고 말했으며, 5G 및 5G와 관련된 네트워크 인프라 시장은 2018년 약 5억2,800만 달러에서 2022년 260억 달러로 증가해 연평균 118%의 성장률을 기록할 것으로 전망했다.

5G 네트워크와 5G 폰 및 기타 다른 기기가 광범위하게 활용되기까지 시간이 걸리겠지만 2019년에는 5G가 더욱 가속화 될 것이다.

2019년 5G를 지원하는 휴대폰의 수는 많지 않겠지만 5G 모바일 네트워크가 확산에 따라, 일부 통신사업자들은 고정형 5G 모바일 핫스팟과 5G 지원 가정용 라우터를 제공할 것이다. 5G 네트워크의 최대 데이터 전송속도가 10 Gbps(4G의 경우 1 Gbps)인 것을 고려하면 5G로의 전환은 새로운 운영 모델, 새로운 아키텍처의 탄생으로 새로운 취약점의 발생을 촉진하는 역할을 할 것이다.

앞으로 Wi-Fi 활용보다는 5G 네트워크에 직접 연결되는 5G IoT 기기가 더욱 늘어날 것이다. 때문에 5G IoT 기기들은 직접적인 공격에 더욱 취약하게 될 것이다. 가정 사용자의 경우 모든 IoT 기기가 중앙 라우터를 우회하기 때문에 모든 기기를 모니터링하는 것이 더욱 어려워질 것이다. 더욱 광범위하게 봤을 때 대량의 데이터를 클라우드 기반 스토리지로 쉽게 백업 또는 전송할 수 있는 능력은 공격자에게 새로운 공격 타깃을 풍부하게 제공할 것이다.

IoT 기반 이벤트가 대규모 DDoS 공격을 넘어 보다 위험하고 새로운 공격 형태로 진화할 것
최근 몇 년간 대규모 봇넷 기반의 분산서비스거부(DDoS) 공격은 수만 대의 감염된 IoT 기기를 이용해 공격 대상의 웹사이트를 마비시킬 정도의 트래픽을 전송했다. IoT 기반 대규모 DDoS 공격도 지속적으로 증가할 것이며 보안이 허술한 IoT 기기들이 다른 유해한 목적으로 사용될 것으로 예상된다.

IoT 중에는 자동차 등과 같이 동력으로 움직이는 것이 있는 반면, 중요한 시스템을 제어하는 것도 있다. 배전망과 통신망처럼 주요 기반 시설을 제어하는 IoT 기기에 대한 공격이 날로 증가할 것으로 예상된다. 또한 가정용 IoT 기기가 더욱 보편화되면서 미래에는 이러한 기기를 무기화하는 공격 시도가 있을 수 있다. 이를 테면, 혹독한 겨울에 한 나라가 적국에 있는 가정용 온도조절기들을 정지시키는 일이 일어날 수 있는 것이다.

전송 중인 데이터(data in transit) 악용 증가

가정용 Wi-Fi 라우터와 기타 보안이 허술한 소비자 IoT 기기를 새로운 방식으로 악용하는 공격이 나타날 가능성이 있다. 암호화폐 채굴을 위해 많은 IoT 기기를 모아 대규모 크립토재킹 공격을 하는 사례가 이미 등장하고 있다.

내년 이후 가정용 라우터와 기타 IoT 허브를 통과하는 일부 데이터를 탈취하려는 시도가 증가할 것이다. 예를 들어 라우터에 삽입된 악성코드는 은행 계정 정보(credentials)를 훔치고, 신용카드 번호를 캡처하거나, 기밀정보를 유출하기 위해 악의적인 가짜 웹페이지를 표시할 수 있다. 민감한 데이터는 움직이지 않고 저장된 상태일 때 안전할 수 있다. 전자상거래 판매자들은 신용카드 CVV 번호를 저장하지 않아 공격자들이 전자상거래 데이터베이스에서 신용카드 정보를 탈취하는 것이 더욱 어렵다. 따라서 소비자의 전송 중인 데이터를 탈취하기 위한 공격 기법이 계속 진화할 것이라는 것은 의심할 여지가 없다.

기업 측면에서 볼 때 2018년에 전송 중인 데이터가 유출되는 수많은 사례가 있었다. 메이지카트(Magecart)라는 공격 그룹은 표적 웹사이트에 직접 악성 스크립트를 심어두거나 사이트에서 이용하는 써드파티 공급업체를 감염시키는 방식을 통해 전자상거래 사이트에서 신용카드 번호와 기타 민감한 소비자 정보를 빼냈다.

이러한 ‘폼재킹(formjacking)’ 공격은 최근 수많은 글로벌 기업의 웹사이트에 피해를 입혔다. 기업의 전송 중인 데이터를 겨냥한 또 다른 공격의 경우 VPN필터(VPNFilter) 악성코드가 다수의 라우터와 NAS(network-attached storage) 장치를 감염시켜 계정 정보 탈취, 네트워크 트래픽 변경, 데이터 암호 해독, 표적 조직 내 다른 악의적인 활동을 위한 진입점 제공 등의 활동을 했다.

네트워크 기반의 기업 공격은 표적 기업의 운영 현황 및 인프라에 대한 가시성을 제공하기 때문에 2019년 사이버 공격자들은 계속해서 네트워크 기반으로 기업을 공격하는 활동에 집중할 것으로 예상된다.

[2019년 전망] 지능적 사이버 공격 통로로 급부상하는 ‘AI∙IoT’

공급망 익스플로잇 공격 증가

소프트웨어 공급망을 악용하는 공격의 빈도와 영향력이 증가할 것이다. 공격자들이 일상적인 배포 위치에서 합법적인 소프트웨어 패키지에 악성코드를 이식하는 등 소프트웨어 공급망을 겨냥한 공격이 갈수록 흔해지고 있다. 이러한 공격은 소프트웨어 벤더나 써드파티 공급업체의 제조 단계에서 발생할 수 있다.

전형적인 공격 시나리오로는 공격자가 목표로 삼은 표적에 빠르고 은밀하게 배포하기 위해 합법적인 소프트웨어 업데이트를 악성코드가 있는 버전으로 바꿔치기하는 것이 있다. 소프트웨어 업데이트를 받은 사용자는 누구나 컴퓨터가 자동으로 감염되고 공격자가 감염 환경에 침입할 수 있는 발판을 마련해준다.

이러한 유형의 공격은 점점 늘어나고, 정교해지고 있다. 미래에는 하드웨어 공급망을 감염시키려는 시도도 있을 것으로 전망된다. 예를 들어 공격자는 칩을 감염시키거나 변경할 수 있고, 또는 UEFI/BIOS와 같은 구성요소가 수백만 대의 컴퓨터에 장착되기 전 UEFI/BIOS의 펌웨어에 소스 코드를 추가할 수 있다. 이러한 종류의 위협은 제거하기 매우 힘들고 감염 컴퓨터를 재부팅하거나 하드 디스크를 다시 포맷한 후에도 여전히 남아있을 수 있다.

공격자들은 목표로 삼는 조직의 소프트웨어 공급망에 침투하기 위해 새롭고 더욱 정교한 기회를 지속적으로 찾을 것이다.

보안관련 법률 및 규제 활동이 증가할 것
유럽연합(EU)이 2018년에 GDPR(일반개인정보보호법)을 시행함에 따라 역외 국가에서 다양한 보안 및 개인정보 보호 정책이 시행될 것으로 보인다. 캐나다는 이미 GDPR과 유사한 법을 시행했고, 브라질은 2020년 시행 예정인 GDPR과 유사한 새로운 개인정보 보호 법안을 최근 통과시켰다. 호주와 싱가포르는 GDPR에서 영향을 받아 72시간 침해 통보제를 제정했고, 인도는 GDPR에서 영감을 받은 법을 고려하고 있다. 이밖에 전세계적으로 많은 국가가 GDPR 적정성을 갖고 있거나 적정성 평가를 논의하고 있다. 미국은 GDPR 시행 직후 캘리포니아 주에서 미국 역사상 가장 엄격한 수준으로 평가되는 개인정보 보호법을 통과시켰다. 따라서 2019년 전세계적으로 GDPR이 가져올 영향이 더욱 분명하게 나타날 것으로 전망되고 있다.

미국 연방의회는 이미 보안과 개인정보 보호 영역을 더욱 깊이 살펴보고 있다. 이러한 법은 더욱 탄력을 받아 내년에 구체화될 가능성이 있다. 이에 따라 미국은 2020년 대선 운동이 진행될 시기에 선거 시스템 보안에 대한 관심이 지속적으로 증가할 것이다.

보안과 개인정보 보호 요구를 해결하기 위한 법률 및 규제 활동이 증가할 것은 거의 확실하지만 일부 요구조건은 도움이 되기보다는 역효과를 가져올 가능성이 있다. 예를 들어 지나치게 광범위한 규정은 보안 기업이 공격을 식별하고 대응하기 위해 심지어 일반 정보조차도 공유하지 못하도록 막을 수 있다. 보안과 개인정보 보호 규정이 허술하게 수립된다면 다른 취약점을 해결한다 해도 새로운 취약점을 만들어 낼 수 있다.

이향선기자 hslee@nextdaily.co.kr

© 2019 nextdaily.co.kr 무단전재 및 재배포금지

(주)넥스트데일리 | 등록번호 : 서울 아 01185 | 등록일 : 2010년 03월 26일 | 제호 : 넥스트데일리 | 발행·편집인 : 구원모
서울시 금천구 가산디지털2로 123, 701호ㅣ발행일자 : 2005년 08월 17일 | 대표전화 : 02-6925-6318 | 청소년보호책임자 : 나성률

Copyright © Nextdaily. All Rights Reserved