사이버 공격: 카지노는 빙산의 일각

사이버 범죄가 점점 디지털 공급망 업체들을 타깃으로 하면서 특히 보안 및 ID 제공 업체에 대해 공격이 집중되고 있다. 피싱 캠페인을 포함한 공격적인 사회공학 기반 전략이 확산하고 있다. 이러한 전략을 실행한 단체로는 라스베이거스 카지노 랜섬웨어 공격을 벌인 바 있는 Scattered Spider 그룹이 있다.

로그인 자격증명 정보를 갈취하기 위해 헬프데스크 직원을 피싱하고 일회용 비밀번호 생성기(OTP) 피싱 코드로 MFA를 우회하는 것이 일반화되고 있다. 이 전략이 공급망 공격에까지 쓰이면서 ID 제공 벤더(IDP vendors)사에 침투해서 소중한 고객 정보 탈취를 노리고 있다.

2024년에도 이러한 공격적인 사회공학 전술이 횡행할 것으로 보이고 기존의 데이터 생성 에지 기기(edge device)와 파일 전송 기기 외에 초기 침투 시도의 대상이 확대될 것으로 전망된다.

생성형 AI: 양날의 검

ChatGPT, FraudGPT, WormGPT 등의 생성형 AI 도구가 기하급수적으로 증가하면서 성장 잠재력과 위험이라는 양날의 검을 보여주고 있다. 거대언어모델(LLM)이 주목받고 있지만 오용에 대한 우려로 인해 2023년 10월 미국 대통령이 행정명령에 서명했다. 지금 이 순간에도 위협 행위자들은 다른 전략을 생각 하고 있다.

더 많은 업체들이 AI와 LLM을 회사의 제품과 프로세스에 반영해서 보안 서비스를 강화하려고 할 것이다. 전 세계적으로 프라이버시 규제 기관과 고객들은 모두 한 목소리로 기술 기업들의 AI 정책을 요구할 것이고 이에 각 기업의 책임 있는 AI 정책에 관한 발표를 보게 될 것이다. 현격한 실패 사례와 책임 있는 AI 정책 사례 모두 증가할 것으로 전망된다.

모바일 기기 피싱: 새롭게 부상하고 있는 옴니(Omni) 채널 전략

2023년 주요 동향 중 하나는 모바일 기기 피싱이었고 2024년에는 이 위협이 더욱 증가할 것으로 전망된다. 위협 행위자들은 전략적으로 피해자를 모바일 플랫폼으로 이동시켜 여기에 내재된 취약점을 악용하고 있다. 특히 피해자와의 대화를 통한 스미싱 등 대화형 공격이 급증했다.

멀티 터치 캠페인은 사용자를 데스크톱이 아닌 모바일 기기로 유인하여 QR 코드와 사기 음성 전화를 사용하게 하고 있다. 이렇게 하면 공격자 입장에서는 모바일 기기 피싱 공격이 쉬워지고, 기업 보안팀의 감지를 피해가는 효과가 있다.

오픈소스 및 생성형 AI: 멀웨어 개발자들의 각축장

멀웨어 개발자들은 오픈소스 도구와 생성형 AI를 활용하여 더 많은 대상에게 접근할 수 있는 첨단 프로그래밍 기법을 만들어 내고 있다. 그 결과 샌드박스, 엔드포인트 감지 및 대응(EDR) 등의 도구를 교묘하게 피할 수 있는 멀웨어가 확산하고 있다.

SysWhispers 등의 무료 및 오픈소스 소프트웨어 접근이 가능해지면서 다양한 멀웨어 프로젝트가 고도화된 감지 우회 기능을 손쉽게 도입하고 있다. 이로 인해 미숙련 개발자들의 진입 장벽이 낮아지고 있고 멀웨어 제품군도 더욱 증가하고 있는 양상이다.

ID 기반 공격 중심: 아킬레스 건

ID 기반 공격이 사이버 보안 공격을 주도하여 인간이 가지고 있는 본래의 취약점과 제한적 가시성이라는 약점을 파고들 것이다. 오랫동안 ‘공개된 사이버 보안 취약점(CVEs)’에 의존해 온 사이버 공격자들이 힘을 잃고 있다.

이제 보안 담당자들은 ‘ID가 새로운 취약점’이라는 점을 명심해야 한다. 각 기업 조직은 인프라 강화가 아닌 저장된 자격증명 정보, 세션 쿠키, 액세스 키 등의 정보 보호와 권한 계정(IDP 포함) 관련 설정 오류 해결에 주력해야 한다. 인적 연계가 있는 공격망에는 신속하고 혁신적인 방어가 필요하다.