[팩플] 韓총선ㆍ美대선에 사이버 범죄도 대목…생성AI발 범죄 는다

중앙일보

입력

 북한은 도메인 주소 'www.naverportal.com'에서 네이버 메인화면에 있는 실시간 뉴스·광고 배너와 메뉴 탭을 그대로 따라한 사이트를 제작했다. 연합뉴스

북한은 도메인 주소 'www.naverportal.com'에서 네이버 메인화면에 있는 실시간 뉴스·광고 배너와 메뉴 탭을 그대로 따라한 사이트를 제작했다. 연합뉴스

통신사의 개인정보 유출 사고부터 보안 프로그램 해킹까지, 올해도 국내에서 다양한 해킹 관련 사고들이 발생했다. 특히 생성 인공지능(AI) 기술이 발전하면서 사이버 공격이 더 고도화 되고 있다. 국내외 정치적 행사가 많은 내년에는 사이버 공격이 사회 혼란으로 이어질 수 있다는 경고도 나온다.

무슨 일이야

과학기술정보통신부와 한국인터넷진흥원(KISA)은 “내년엔 생성AI를 활용한 사이버 범죄가 늘어날 수 있다”는 내용을 담은 ‘2023년 사이버 보안 위협 분석 및 ’2024년 사이버 보안 위협 전망‘을 17일 발표했다. 보고서에 따르면 올해 보안 인증 프로그램의 취약점을 노린 소프트웨어 공급망 해킹 공격이 크게 늘었다. 보안을 위해 설치한 프로그램이 오히려 해커가 침투할 수 있는 통로가 된 것. 소프트웨어 개발사를 감염시켜 이 소프트웨어를 이용하는 고객 전체를 감염시킬 수 있어 더욱 위험하다.

실제 올해 초 KT의 금융보안 계열사 이니텍의 ‘이니세이프’와 드림시큐리티의 ‘매직라인’ 등에 사이버 공격이 발생했다. 문제는 이런 프로그램의 대부분이 PC에 한 번 설치되면 계속해서 실행되는 형태라, 해킹 여부를 알기 어렵다는 점이다. 설치된 버전을 삭제하거나 최신 버전이 나올 때마다 직접 업데이트 하지 않으면 언제든 해커의 먹잇감이 될 수 있다.

지인이나 가족을 사칭해 개인정보를 빼내는 피싱도 늘고 있다. KISA에 따르면 올해 탐지 차단된 피싱사이트 건수는 7534건으로 전년 대비 약 79% 늘었다. 지난 7월 텔레그램 공식 사이트인 것처럼 위장해 개인 정보를 탈취한 뒤, 지인들에게 피해자가 보낸 것처럼 해킹 링크를 보낸 사례가 대표적이다. 이는 연쇄 피싱으로 이어져 피해자가 꼬리에 꼬리를 물고 발생할 수 있는 위험이 있다.

왜 중요해

내년은 선거의 해다. 한국에선 22대 국회의원을 뽑는 총선이 있고, 미국에선 대통령 선거가 치러지는 등 전 세계 40개국에서 선거가 있다. 이 때문에 사이버 위협 뿐 아니라 사회공학적 위협도 함께 늘어날 수 있다는 경고가 나온다. 사이버 공격을 통해 개인정보나 자산을 탈취하는 것 뿐 아니라 사회 혼란까지 야기할 수 있다는 것. 과기정통부 등은 보고서에서 ”국가적인 중요한 행사가 있을 때 사회 혼란을 노리는 핵티비스트(Hacktivist, 정치 사회 활동에 적극적인 해커)들의 사이버 공격 가능성도 함께 높아진다“며 ”공격자들이 갈등을 조장하기 위한 다양한 공격을 시도할 수 있다“고 분석했다. 딥페이크 기술을 활용해 가짜 뉴스를 생산하는 등의 방식이 예상된다.

특히 생성AI 기술을 누구나 사용할 수 있게 되면서 딥페이크와 가짜뉴스도, 피싱메일도 더 정교하게 만들 수 있게 됐다. 해커가 보안에 대한 전문적인 지식이 부족하더라도 손쉽게 보안 취약점을 찾아내 악성 코드를 만들 수 있는 것. 보고서에 따르면 공격 대상이 쉽게 속을 수 있도록 피싱 이메일을 작성해주는 생성 AI 기반 서비스가 최근 발견됐다. 보고서는 “기존 백신 등이 탐지하기 어려운 변종 악성코드를 만드는 데도 생성 AI 기술이 많이 이용될 것으로 보인다”고 예측했다.

김경진 기자

김경진 기자

어떻게 대비해야해

① 인증 관련 보안 높여야
타 사이트에서 수집한 사용자 계정 정보를 무작위로 대입해 로그인을 시도하는 ‘크리덴셜 스터핑’에 대한 대비가 필요하다. 보고서는 “최근 침해사고 조사 결과 크리덴셜 스터핑 공격 시 로그인 시도 대비 성공률이 0.3% 가까이 되는 경우도 있었다“고 지적했다. 1000건 중 3건은 로그인에 성공할 정도로 높은 비율이다. 최근 이 방식의 공격으로 인터파크에서 78만 건, 한국고용정보원(워크넷)에서 23만 건의 개인정보가 유출됐다. 지마켓 상품권 번호 도용, 스타벅스의 카드 충전금 도용 등 금전적 피해를 입히는 공격도 있었다.

이를 방지하기 위해서 각 기업이나 기관들은 로그인 시도 횟수를 제한하거나 2차 인증 기능 등 인증 관련 보안을 높여야 한다. 보고서는 “이용자 스스로도 2차 인증 기능을 설정하는 등의 노력이 필요하다”고 했다.

② 제로 트러스트, 선택 아닌 필수
사이버 침해는 언제든 발생할 수 있다고 인정하고 대비해야 한다는 분석도 나온다. 공격을 당하더라도 업무가 중단되지 않도록 백업 체계를 마련하고, 신속한 복구 프로세스를 반복해서 점검하고 강화해야 한다는 것. 과기정통부와 KISA가 제공하는 보안 취약점 점검, 실전형 모의 침투 훈련 등을 이용하는 것도 방법이 될 수 있다.

제로 트러스트, 즉 네트워크가 이미 침해된 것으로 간주하고 계속 검증하는 보안 시스템을 갖추는 것도 필요하다. 과기정통부는 이달 초 국내 기업 환경에 적용할 수 있는 ‘제로트러스트 기본모델 2종’을 공개했다. 홍진배 과기정통부 네트워크정책실장은 “사이버 공격은 서비스 장애나 불편을 일으키는 것을 넘어 사회 전체를 마비시키고 생명을 위협할 수 있는 중대사고가 될 수 있다”며 “민관이 함께 협력해 새로운 위협을 예방할 수 있도록 노력하겠다”고 말했다.