통신사의 개인정보 유출 사고부터 보안 프로그램 해킹까지, 올해도 국내에서 다양한 해킹 관련 사고들이 발생했다. 특히 생성 인공지능(AI) 기술이 발전하면서 사이버 공격이 더 고도화 되고 있다. 국내외 정치적 행사가 많은 내년에는 사이버 공격이 사회 혼란으로 이어질 수 있다는 경고도 나온다.
무슨 일이야
실제 올해 초 KT의 금융보안 계열사 이니텍의 ‘이니세이프’와 드림시큐리티의 ‘매직라인’ 등에 사이버 공격이 발생했다. 문제는 이런 프로그램의 대부분이 PC에 한 번 설치되면 계속해서 실행되는 형태라, 해킹 여부를 알기 어렵다는 점이다. 설치된 버전을 삭제하거나 최신 버전이 나올 때마다 직접 업데이트 하지 않으면 언제든 해커의 먹잇감이 될 수 있다.
지인이나 가족을 사칭해 개인정보를 빼내는 피싱도 늘고 있다. KISA에 따르면 올해 탐지 차단된 피싱사이트 건수는 7534건으로 전년 대비 약 79% 늘었다. 지난 7월 텔레그램 공식 사이트인 것처럼 위장해 개인 정보를 탈취한 뒤, 지인들에게 피해자가 보낸 것처럼 해킹 링크를 보낸 사례가 대표적이다. 이는 연쇄 피싱으로 이어져 피해자가 꼬리에 꼬리를 물고 발생할 수 있는 위험이 있다.
왜 중요해
특히 생성AI 기술을 누구나 사용할 수 있게 되면서 딥페이크와 가짜뉴스도, 피싱메일도 더 정교하게 만들 수 있게 됐다. 해커가 보안에 대한 전문적인 지식이 부족하더라도 손쉽게 보안 취약점을 찾아내 악성 코드를 만들 수 있는 것. 보고서에 따르면 공격 대상이 쉽게 속을 수 있도록 피싱 이메일을 작성해주는 생성 AI 기반 서비스가 최근 발견됐다. 보고서는 “기존 백신 등이 탐지하기 어려운 변종 악성코드를 만드는 데도 생성 AI 기술이 많이 이용될 것으로 보인다”고 예측했다.
어떻게 대비해야해
타 사이트에서 수집한 사용자 계정 정보를 무작위로 대입해 로그인을 시도하는 ‘크리덴셜 스터핑’에 대한 대비가 필요하다. 보고서는 “최근 침해사고 조사 결과 크리덴셜 스터핑 공격 시 로그인 시도 대비 성공률이 0.3% 가까이 되는 경우도 있었다“고 지적했다. 1000건 중 3건은 로그인에 성공할 정도로 높은 비율이다. 최근 이 방식의 공격으로 인터파크에서 78만 건, 한국고용정보원(워크넷)에서 23만 건의 개인정보가 유출됐다. 지마켓 상품권 번호 도용, 스타벅스의 카드 충전금 도용 등 금전적 피해를 입히는 공격도 있었다.
이를 방지하기 위해서 각 기업이나 기관들은 로그인 시도 횟수를 제한하거나 2차 인증 기능 등 인증 관련 보안을 높여야 한다. 보고서는 “이용자 스스로도 2차 인증 기능을 설정하는 등의 노력이 필요하다”고 했다.
② 제로 트러스트, 선택 아닌 필수
사이버 침해는 언제든 발생할 수 있다고 인정하고 대비해야 한다는 분석도 나온다. 공격을 당하더라도 업무가 중단되지 않도록 백업 체계를 마련하고, 신속한 복구 프로세스를 반복해서 점검하고 강화해야 한다는 것. 과기정통부와 KISA가 제공하는 보안 취약점 점검, 실전형 모의 침투 훈련 등을 이용하는 것도 방법이 될 수 있다.
제로 트러스트, 즉 네트워크가 이미 침해된 것으로 간주하고 계속 검증하는 보안 시스템을 갖추는 것도 필요하다. 과기정통부는 이달 초 국내 기업 환경에 적용할 수 있는 ‘제로트러스트 기본모델 2종’을 공개했다. 홍진배 과기정통부 네트워크정책실장은 “사이버 공격은 서비스 장애나 불편을 일으키는 것을 넘어 사회 전체를 마비시키고 생명을 위협할 수 있는 중대사고가 될 수 있다”며 “민관이 함께 협력해 새로운 위협을 예방할 수 있도록 노력하겠다”고 말했다.