컨텐츠 바로가기

06.18 (화)

"2024년 1분기, AI로 고도화된 BEC 공격 사례 늘었다" 크롤 보고서

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
금융 및 위험 관리 자문 기업 크롤(Kroll)이 발간한 최근 보고서에 따르면, 다른 대부분 산업과 마찬가지로 사이버 공격자 역시 목표 달성을 위해 AI를 적극적으로 활용하는 것으로 나타났다.
ITWorld

ⓒ Getty Images Bank

<이미지를 클릭하시면 크게 보실 수 있습니다>



BEC(Business Email Compromise)와 같은 잘 알려진 공격 수법이 AI를 통해 고도화되고 있다. 특히 공격자는 AI를 사용한 음성 복제와 딥페이크 메시지 등으로 최고 경영진의 요청에 대한 구두 인증과 같은 BEC 공격에 대비하기 위한 보안 수단을 우회하고 있다.

보고서 집필팀은 "피싱은 이메일 침해 사고의 가장 유력한 벡터였다. 1분기에 피싱은 일반적으로 이메일과 밀접하게 연관되어 있었지만, 공격자들은 계속해서 수법을 진화시키고 있다. SMS와 보이스 피싱과 같은 다른 수법도 인기를 얻고 있는 것으로 보인다"라고 말했다.

한편 랜섬웨어 공격은 직전 분기 23%에서 2024년 1분기 16%로 감소했는데, 이는 록빗(LockBit), 블랙캣(BlackCat)과 같은 RaaS(Ransomware as a Service) 공격 집단에 대한 정부의 단속 때문일 수 있다고 크롤 측은 지적했다. 내부자 위협은 전문 서비스 분야의 기업에 가장 큰 타격을 입혔으며(23%), 금융 서비스(14%)와 기술 및 통신 서비스(11%)가 뒤를 이었다.

보고서 집필팀은 기술 및 통신 부문에 영향을 미친 사고는 내부자 위협일 가능성이 가장 높다고 분석하며, "대부분 기술 서비스 업체는 여러 다운스트림 고객과 협력하기 때문에 여러 기술 업체에 액세스할 수 있는 내부자가 악의적인 활동을 고객에게 연쇄적으로 전파해 공급망 위험을 초래할 수 있다. 실제로 거의 모든 내부자 위협 사고의 90%가 악의적인 적으로 나타났다. 이는 기업이 내부자 위협을 간과해서는 안 된다는 점을 강조한다"라고 설명했다.

가장 일반적인 초기 접근 방법은 여전히 피싱이지만(39%), 소셜 엔지니어링을 통해 시작된 공격이 2023년 4분기 6%에서 2024년 1분기 20%로 급증했다. 제로데이 취약점 및 문서화된 CVE 취약점을 악용한 공격은 직전 분기보다 1%p 소폭 늘었다. 보고서에 따르면, 이들 공격은 랜섬웨어 공격으로 이어질 가능성이 가장 높았다.

하지만 보고서 집필팀은 CVE가 발표된 이후 공격자가 이를 악용하는 속도가 그 어느 때보다 빠르다고 지적하며 지난 2월 19일 소프트웨어 업체 커넥트와이즈(ConnectWise)의 원격 관리 도구인 스크린커넥트(ScreenConnect)에 영향을 미치는 2가지 취약점 관련 사례를 언급했다. 당시 크롤은 해당 취약점을 악용해 네트워크가 공격당한 여러 고객을 지원했는데, 스크린커넥트 공격 사례 대부분의 최초 접속 날짜는 2월 21일이었다. 즉, 공격자들이 최초 발표된 후 48시간 이내에 취약점을 악용했음을 나타낸다.

보고서 집필팀은 "다양한 위협 행위자들이 해당 취약점을 활용한 것을 관찰했다. 발표 후 첫 5일 이내에 발생한 사례는 대규모 위협 행위자 그룹과 관련 있을 가능성이 더 높았다. 발표일에서 3주가 지난 후에는 패치가 광범위하게 적용되기 때문인지 악용 사례가 더 적었다. 이 기간 동안 관찰된 사례는 단독 공격자 또는 덜 정교한 위협 공격 집단이 관련될 가능성이 크다"라고 설명했다.

또한 1분기에는 사용자가 HTTP를 통해 통신해 문서를 생성, 수정, 이동할 수 있는 프로토콜인 웹DAV를 사용해 윈도우에 원격 파일 액세스 권한을 얻는 공격자의 활동도 증가했다. 공격자는 마이크로소프트 스마트스크린 소프트웨어의 취약점을 이용해 보안 제어를 우회하는 악성 URL이 포함된 인터넷 바로가기를 전송해 맬웨어를 다운로드할 수 있었다. 보고서 집필팀은 가능한 한 웹DAV 트래픽을 차단할 것을 권장했다.

마지막으로 보고서는 딥페이크 및 AI 기반 공격 탐지가 보안팀 훈련의 일부가 되어야 한다며, 딥페이크 사용 여부를 판단하는 데 도움이 되는 팁을 다음과 같이 제시했다.

사전 녹화된 딥페이크
  • 발신자 주소가 스푸핑되거나 알 수 없는 경우가 많으므로 영상 발신자 주소를 확인한다.
  • 역방향 이미지 검색(reverse image search)을 통해 저화질 및 대량 생산된 딥페이크 동영상을 탐지한다.

실시간 딥페이크
  • 화면 속 인물에게 광범위한 움직임을 요구한다. 이때 변색, 비정상적인 체형, 뒤틀린 팔다리, 불규칙한 머리카락 깜빡임 등을 주의 깊게 살펴본다.
  • 움직임에 대한 표준 프로토콜을 따르도록 정책을 마련한다.

AI 기반 딥페이크
  • 일반적인 딥페이크 식별 시도 대신 개인에 대한 탐지 모델을 훈련한다.
  • 전체적인 공격 표면 보안을 강화한다.

보고서 집필팀은 "점점 더 커지는 AI 위협에 직면한 기업이 방어적이기만 한 일차원적인 보안 접근 방식에 의존하는 것은 위험하다. 모든 공격 표면 계층에 선제적으로 대응하는 전략으로 경계를 강화해야 한다"라고 강조했다.
editor@itworld.co.kr

Lynn Greiner editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.