자유 게시판
北, 사이버 위협의 오른팔 ‘APT 그룹’... 왼팔은 ‘AI’?
2023.09.04 23:45
한국, 사이버 위협 노출 순위 세계 ‘3위’...지정학적 영향
“공급망 공격으로 잠재적 피해자 확보, 타깃 정해서 공격 진행”
북한 사이버 공격에 사용되는 인공지능, 활용 범위 넓어질 가능성 多
[보안뉴스 박은주 기자] 한국의 사이버 위협 노출 수준이 세계 3위를 기록했다. 이는 구글 클라우드 자회사인 맨디언트(Mandiant)가 2022년 기준으로 내부 데이터와 공공 데이터를 종합해 산출한 결과다. 공격 빈도와 치명도에 따라 점수를 산정했다. 1위 미국, 2위는 우크라이나가 차지했으며, 집계에 중국과 러시아는 제외됐다.
[이미지=gettyimagesbank]
맨디언트 조사에 따르면 2022년 사이버 위협 트렌드는 △취약점 공격 △피싱 △탈취한 인증정보 사용이다. 위협 트렌드는 2023년까지 이어졌고, 특히 아시아 지역은 침해가 발생했던 경로를 다시 공격하는 경우가 많았다. 이와 더불어 2023년 위협 동향으로 랜섬웨어와 데이터 유출이 동시에 이뤄지는 ‘다각적 갈취(Multi-Facted Extortion)’, ‘제로데이 공격’, 이메일·클라우드·사내 시스템의 아이디 등을 노리는 ‘개인정보 갈취’, 국가 차원의 해킹을 감행하는 ‘지정학정 위기’를 꼽았다.
우리나라가 주목할 점은 ‘지정학적 위기’다. 한국 주위에는 러시아, 북한 등 사이버 위협국이 분포해 있다. 특히 북한은 정치적·경제적 이유로 한국을 비롯한 세계 각국에 사이버 위협을 가하고 있어 보안에 각별한 주의가 요구된다.
북한의 사이버 공격 동향
한편, 올해 발생한 3CX와 점프클라우드 등 정보기술 서비스를 제공하는 기업을 노린 공급망 공격 배후가 북한의 ‘APT 43’으로 추정된다는 맨디언트의 발표가 있었다. APT 43은 김수키(Kimsuky) 또는 탈륨(Thalium)으로 알려져 있고, 한국 정부가 세계 최초로 대북 독자 제재 대상에 올리기도 했다.
▲APT 43의 공격 동향에 대해 발표하는 루크 맥나마라[사진=보안뉴스]
맨디언트의 수석 애널리스트 루크 맥나마라(Luke McNamara)는 지난 8월 열린 라운드 테이블에서 “점프클라우드 공격에 사용된 악성코드는 북한의 공격 그룹이 자주 사용하던 코드와 일치했다”며, “공격 과정에서 VPN(가상사설망)이 아닌 IP(인터넷 프로토콜)로 시스템에 접근했는데, 그 주소가 평양으로 밝혀졌다”고 말했다. 또한, “북한의 공격이 유동적으로 변화하고 있으며, 공급망 공격의 목적은 다양하지만 광범위한 잠재적 피해자를 확보하고, 원하는 타깃을 설정해 공격을 진행할 수 있다”고 밝혔다.
한편, APT 43이 사이버 공격에 인공지능(AI) 등 신기술을 이용하려는 움직임이 포착됐다. 루크 맥나마라는 “북한이 가상자산 돈세탁 과정에서 블록체인 기반의 계약을 체결하게 되는데, 이때 블록체인 기술을 이용해 제3의 인증기관 없이 개인이 계약할 수 있도록 돕는 ‘스마트컨트랙트(Smart Contract)’를 활용하고 있다”고 말했다. 또한 “APT 43이 대규모언어모델(LLM) 서비스에 접근한 흔적을 찾았다”며, “어떤 서비스에 접속했는지, 접속 이유와 검색 내용은 조사 중이라 아직 밝힐 수 없다”고 설명했다.
루크 맥나마라는 최근 AI를 이용해 만들어진 우크라이나 젤렌스키 대통령의 항복 선언 영상을 언급하며 “아직 품질이 조악해 가짜 비디오라는 점을 쉽게 알 수 있었다”면서도 “앞으로 국가 지도자나 CEO(최고경영자)가 말하는 동영상이나 오디오를 만들어 악용할 수 있을 것”이라 우려를 표했다
“공급망 공격으로 잠재적 피해자 확보, 타깃 정해서 공격 진행”
북한 사이버 공격에 사용되는 인공지능, 활용 범위 넓어질 가능성 多
[보안뉴스 박은주 기자] 한국의 사이버 위협 노출 수준이 세계 3위를 기록했다. 이는 구글 클라우드 자회사인 맨디언트(Mandiant)가 2022년 기준으로 내부 데이터와 공공 데이터를 종합해 산출한 결과다. 공격 빈도와 치명도에 따라 점수를 산정했다. 1위 미국, 2위는 우크라이나가 차지했으며, 집계에 중국과 러시아는 제외됐다.
[이미지=gettyimagesbank]
맨디언트 조사에 따르면 2022년 사이버 위협 트렌드는 △취약점 공격 △피싱 △탈취한 인증정보 사용이다. 위협 트렌드는 2023년까지 이어졌고, 특히 아시아 지역은 침해가 발생했던 경로를 다시 공격하는 경우가 많았다. 이와 더불어 2023년 위협 동향으로 랜섬웨어와 데이터 유출이 동시에 이뤄지는 ‘다각적 갈취(Multi-Facted Extortion)’, ‘제로데이 공격’, 이메일·클라우드·사내 시스템의 아이디 등을 노리는 ‘개인정보 갈취’, 국가 차원의 해킹을 감행하는 ‘지정학정 위기’를 꼽았다.
우리나라가 주목할 점은 ‘지정학적 위기’다. 한국 주위에는 러시아, 북한 등 사이버 위협국이 분포해 있다. 특히 북한은 정치적·경제적 이유로 한국을 비롯한 세계 각국에 사이버 위협을 가하고 있어 보안에 각별한 주의가 요구된다.
북한의 사이버 공격 동향
한편, 올해 발생한 3CX와 점프클라우드 등 정보기술 서비스를 제공하는 기업을 노린 공급망 공격 배후가 북한의 ‘APT 43’으로 추정된다는 맨디언트의 발표가 있었다. APT 43은 김수키(Kimsuky) 또는 탈륨(Thalium)으로 알려져 있고, 한국 정부가 세계 최초로 대북 독자 제재 대상에 올리기도 했다.
▲APT 43의 공격 동향에 대해 발표하는 루크 맥나마라[사진=보안뉴스]
맨디언트의 수석 애널리스트 루크 맥나마라(Luke McNamara)는 지난 8월 열린 라운드 테이블에서 “점프클라우드 공격에 사용된 악성코드는 북한의 공격 그룹이 자주 사용하던 코드와 일치했다”며, “공격 과정에서 VPN(가상사설망)이 아닌 IP(인터넷 프로토콜)로 시스템에 접근했는데, 그 주소가 평양으로 밝혀졌다”고 말했다. 또한, “북한의 공격이 유동적으로 변화하고 있으며, 공급망 공격의 목적은 다양하지만 광범위한 잠재적 피해자를 확보하고, 원하는 타깃을 설정해 공격을 진행할 수 있다”고 밝혔다.
한편, APT 43이 사이버 공격에 인공지능(AI) 등 신기술을 이용하려는 움직임이 포착됐다. 루크 맥나마라는 “북한이 가상자산 돈세탁 과정에서 블록체인 기반의 계약을 체결하게 되는데, 이때 블록체인 기술을 이용해 제3의 인증기관 없이 개인이 계약할 수 있도록 돕는 ‘스마트컨트랙트(Smart Contract)’를 활용하고 있다”고 말했다. 또한 “APT 43이 대규모언어모델(LLM) 서비스에 접근한 흔적을 찾았다”며, “어떤 서비스에 접속했는지, 접속 이유와 검색 내용은 조사 중이라 아직 밝힐 수 없다”고 설명했다.
루크 맥나마라는 최근 AI를 이용해 만들어진 우크라이나 젤렌스키 대통령의 항복 선언 영상을 언급하며 “아직 품질이 조악해 가짜 비디오라는 점을 쉽게 알 수 있었다”면서도 “앞으로 국가 지도자나 CEO(최고경영자)가 말하는 동영상이나 오디오를 만들어 악용할 수 있을 것”이라 우려를 표했다