'생성형 AI로 더욱 강력해질' 2024년 피싱 동향

보편적인 사람이 이메일이 정상인지 사기인지 여부를 판단하는 데 사용하는 지표는 오탈자, 문법적 오류, 문화적 맥락의 결여 등인데, 2024년에는 이 같은 구분이 더 어려워질 전망이다. 공격자가 피싱, SMS 및 기타 소셜 엔지니어링 공격에 생성형 AI와 대규모 언어 모델(LLM)을 사용하여 음성과 비디오를 포함한 콘텐츠를 더욱 정교하게 만들 것이기 때문이다.
 
또한 구글 클라우드 사이버 보안 전망 2024 보고서에 따르면 생성형 AI는 대규모 악성 활동에도 동원될 전망이다. 공격자는 이름과 조직, 직책, 부서 또는 건강 데이터에 대한 액세스 권한을 획득하게 되면 악성 LLM을 사용할 필요조차 없다. 생성형 AI를 사용해서 송장 미리 알림의 초안을 만드는 행위에는 본질적으로 악의적인 요소가 없기 때문이다. 구글 클라우드의 CISO 필 베너블스는 성명서에서 AI에 대해 “공격자는 무해한 AI 애플리케이션과 악성 AI 애플리케이션의 경계를 흐리기 위해 할 수 있는 모든 수단을 사용할 것이므로 방어자는 더 신속하고 효율적으로 움직여야 한다”라고 말했다.
 

이 보고서는 생성형 AI를 사용한 가짜 뉴스, 수신자와 적극적으로 상호작용하는 가짜 전화, 생성형 AI로 만들어진 가짜 콘텐츠를 기반으로 한 딥페이크 사진 및 비디오 등으로 인해 기업과 정부에 대한 대중의 회의와 불신이 증가할 가능성을 경고했다. 또한 구글 클라우드는 공격자를 위한 유료 서비스 형태의 생성형 AI와 LLM도 등장할 것으로도 예측했다.
 
좋은 소식은 사이버 방어자들도 비슷한 툴을 사용하여 이러한 위협에 맞선다는 것이다. 구글 클라우드는 조직에서 대량의 데이터를 합성하고 위협 인텔리전스에서 이를 컨텍스트화한 다음 실행 가능한 탐지 또는 기타 분석을 도출하는 것이 AI의 주요 사용 사례 중 하나가 될 것으로 예측했다. AI와 생성형 AI는 이러한 대규모 데이터 집합을 분석하고 취해야 할 조치를 추론하는 인간의 역량을 보강하는 기능을 제공할 것이다.
 

2024년의 전 세계 위협 전망

공격자는 환경에 대한 지속적인 액세스를 최대한 길게 유지하는 데 목표로 두므로 2024년에는 이러한 액세스를 더 오래 유지하기 위해 제로데이 취약점과 엣지 디바이스를 악용할 것이다. 이 전망은 2023년의 제로데이 취약점이 2021년에 세워진 이전 기록을 뛰어넘을 것이라는 예상에 근거한다.
 
러시아의 우크라이나 침공 이후 나타난 파괴적 핵티비즘의 경우 하마스-이스라엘 분쟁 중에도 비슷한 활동이 관측된 만큼 앞으로도 계속 증가할 가능성이 높다. 이러한 활동에는 DDoS 공격, 데이터 유출 및 훼손이 포함된다. 맨디언트 인텔리전스(Mandiant Intelligence)는 이 같은 활동이 과거에 성공을 거둔 만큼 재활용될 가능성이 높다고 예상했다.
 
러시아의 우크라이나 침공 이전에 관찰된 바와 같이 일부 국가는 와이퍼 맬웨어를 추가할 수도 있다. 당시 러시아 APT 그룹은 우크라이나 표적에 대한 액세스 권한을 획득해 동적인 작전과 동시에 파괴적인 공격을 개시했다. 보고서는 “대만 해협과 기타 전 세계적인 보안 위협으로 인해 2024년에는 전략적으로 중요한 표적에 사전에 배치된 파괴적인 와이퍼 맬웨어가 발견될 것”이라고 전망했다.
 
또한 구글 클라우드는 우주 기반 인프라를 노리는 공격, 하이브리드 및 멀티클라우드 환경에 대한 공격의 성숙화, 위협 행위자의 서버리스 서비스 사용 증가, 갈취 공격의 지속, 스파이 및 슬리퍼 봇넷, SystemFunctionXXX 및 안티 가상머신을 포함한 과거 수법의 부활을 예상했다.
 
맬웨어 제작자들은 고, 러스트, 스위프트와 같은 프로그래밍 언어로 계속해서 더 많은 소프트웨어를 개발할 것이다. 이러한 언어는 뛰어는 개발 환경과 저수준 기능, 풍부한 표준 라이브러리, 써드 파티 패키지와의 손쉬운 통합을 제공하기 때문이다. 개발자들은 소프트웨어 패키지 관리자에 호스팅되는 공급망 공격을 통해 표적이 된다.
 
사이버 보안 보험이 증가하면서 보험료는 안정적으로 유지될 것으로 전망된다. 구글 클라우드는 보안 운영 솔루션에서 통합 위험 및 위협 인텔리전스에 대한 고객 요구가 강해지면서 섹옵스(SecOps)의 통합도 증가할 것으로 예상했다.
 

2024년 주목할 지역별 동향

선거 시스템을 표적으로 한 스파이 활동과 영향력 행사, 소셜 미디어에서의 후보자 사칭, 유권자를 노리는 정보 작전 등 다가오는 미국 대선을 겨냥한 사이버 활동에 참여하는 국가 및 기타 위협 행위자가 증가하고 있다. 특히 중국, 러시아, 이란에서 미국 정부를 대상으로 한 스피어 피싱과 기타 공격이 증가할 것으로 예상된다.
 
마찬가지로 선거가 실시되는 대만, 한국, 인도, 인도네시아에서도 이와 비슷한 활동이 발생할 것으로 보인다. 중국이 새로 제작한 지도 역시 인도 및 인도네시아 선거 중에 논쟁을 유발할 수 있다.
 
사이버 범죄와 인신매매, 두 가지 요소가 모두 포함된 이른바 돼지 도살 사기(로맨스 사기)는 2024년에도 아시아 태평양 국가의 사법 기관에 계속해서 골칫거리가 될 전망이다. 아시아 태평양 지역에서는 엔드포인트 탐지 및 대응 솔루션의 도입이 증가하면서 탐지를 최소화하기 위한 공격 전술도 함께 증가할 것으로 예상된다.
 
6월에 실시되는 유럽 의회 선거도 사이버 스파이 활동과 정보 작전을 모두 수행하는 위협 행위자들에게 매력적인 표적이며, 이와 관련해서는 러시아가 가장 뚜렷한 위협으로 보고되고 있다.
 
러시아와 중국은 아프리카에 영향을 미치기 위해 허위 정보를 퍼뜨리는 사이버 캠페인으로 아프리카 국가를 표적으로 한 활동을 늘리면서 독재 정권을 지원하고 불화를 조장하는 동시에 민주 제도를 약화시키고 있다. 중국 및 러시아 그룹은 스마트폰, 컴퓨터, 전기차와 같은 많은 하이테크 제품에 필수적인 희토류 광물 산업을 노릴 것으로 전망된다.
 
2024년 파리에서 열리는 하계 올림픽에서 사이버 범죄자들은 특히 금융 정보 또는 자격 증명을 요청하는 피싱 캠페인을 통해 티켓 시스템과 상품을 노릴 것으로 예상된다. 마지막으로, 내년에도 중국과 러시아, 북한, 이란은 각자의 목표를 달성하기 위해 스파이 활동과 사이버 범죄, 정보 작전 및 기타 캠페인을 수행하면서 활동을 지속할 것으로 보인다.
 
맨디언트 인텔리전스와 구글 클라우드의 부사장인 산드라 조이스는 성명서에서 4대 위협 국가에 대해 “중국, 러시아, 북한, 이란은 지정학적 필요에 따라 장단기적으로 각각 특징적인 사이버 역량을 행사하고 있다. 특히 중동과 동유럽, 동아시아의 분쟁 지역을 중심으로 전 세계적 긴장이 고조되면서 이러한 행위자들을 이용하는 사례도 분명 증가할 것이므로 집중적인 준비가 중요하다”라고 말했다.
editor@itworld.co.kr