보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

악명 높은 해킹 단체 TA547, 대형 언어 모델로 드로퍼 만들어 독일 공격

입력 : 2024-04-11 18:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
인공지능이 만든 멀웨어가 실제 공격에 활용되기 시작했다. 여태까지 공격자들은 인공지능을 가지고 뒷조사를 보다 빠르게 하는 것 정도에 만족했었다. 물론 멀웨어가 위협적인 건 아니지만, 등장했다는 것 자체가 우려를 낳고 있다.

[보안뉴스 문가용 기자] 보안 업체 프루프포인트(Proofpoint)의 연구원들이 최근 독일의 여러 기업들을 겨냥한 악성 캠페인이 진행되고 있음을 발견했다. 이 때 눈에 띄는 것이 한 가지 있었는데, 캠페인에 사용되는 드로퍼 코드 하나가 인공지능에 의해 생성된 게 분명해 보인다는 것이었다. 추적해보니 ‘최초 접근 브로커(IAB)’ 사업을 하는 TA547이라는 조직이 인공지능을 자신들의 사업 행위에 적극 이용하고 있었다.

[이미지 = gettyimagesbank]


프루프포인트의 연구원들은 “충분히 우려 깊은 시선으로 바라봐야 할 사건”이라고 말한다. “인공지능을 이용하는 공격자들의 지금 실력이 당장에 위협이 될 만한 건 아닙니다. 게다가 누가 작성했건 멀웨어는 멀웨어이고, 탐지하고 막아야 하는 건 똑같죠. 아마 당분간은 인공지능으로 만든 멀웨어가 사람이 만든 것보다 뛰어나지는 않을 겁니다. 게다가 이미 인공지능보다 훨씬 뛰어난 인간 개발자들이 인공지능의 위협을 대응하기 위해 열심히 연구하고 있기도 하죠. 공격자가 인공지능을 좀 사용했다고 패닉에 빠질 일은 없을 겁니다.”

TA547의 드로퍼
그럼에도 공격자들의 인공지능 활용을 우려해야 하는 이유는 무엇일까? 먼저 TA574는 금전적인 목적을 가지고 활동하는 사이버 공격 단체 중 꽤나 악명이 높은 축에 속한다. 트릭봇(TrickBot), 고지(Gozi), 루마(Lumma), 넷서포트(NetSupport), 스틸씨(StealC), 지로더(ZLoader) 등의 유명 멀웨어들을 활용한 캠페인을 꾸준히 벌여왔었다.

“즉, 멀웨어의 활용 및 개발 주기가 짧아졌다는 뜻이 됩니다. 실제로 TA547만이 아니라 여러 다른 사이버 공격 조직들 사이에서도 멀웨어 사이클이 짧아진 현상이 나타나고 있습니다. 최근 공격자들이 여러 멀웨어를 이리 저리 실험하는 데에 전혀 부담을 느끼지 않는 것처럼도 보입니다. 멀웨어 운영자 혹은 사이버 공격자들 사이에서 서서히 나타나고 있는 유행이라고 봐도 무방합니다. 그러다가 TA547의 경우 인공지능에까지 도달한 것이 아닐까 추측합니다.”

TA547의 캠페인은 간단한 사칭 이메일로부터 시작한다. 예를 들어 독일의 대형 도소매 업체인 메트로AG(MetroAG)를 흉내 내는 식이다. 이메일에는 집 파일이 첨부되어 있고, 이 파일을 열려면 비밀번호를 입력해야 한다. 안에는 LNK 파일들이 들어있다. 이 LNK 파일을 실행하면 파워셸 스크립트가 작동하며, 이 스크립트는 라다만티스(Rhadamanthys)라는 정보 탈취형 멀웨어를 피해자 컴퓨터에 심는다.

여기까지는 특별할 것도, 새로울 것도 없는 전형적인 사이버 공격이다. 다만 중간 단계에 있는 파워셸 스크립트에서 조금 남다른 특성이 나타난다. 코드 내에 존재하는 모든 요소들 위로 해시태그와 지나칠 정도로 구체적이고 상세한 주석이 달려 있다는 것이다. 이는 대형 언어 모델들이 만든 코드들에서 나타나는 특성이라고 프루프포인트는 지적한다.

더 지독한 인공지능 기반 멀웨어가 나타날까?
“공격자들도 우리와 마찬가지로 끊임없이 인공지능을 연구하고 있습니다. 어떻게 하면 보다 쉽게, 보다 효율적으로 자신들의 목적을 달성할 수 있을까 늘 고민하고 실험하는 게 그들이니까요. 그러면서 여러 가지 활용법들이 등장하고 있지요. 공격 대상을 조사할 때 인공지능을 동원한다든지, 피싱 메일 작성을 위해 인공지능을 쓴다든지, 취약점에 대한 상세 분석을 인공지능에 맡기는 등의 움직임이 나타났습니다. 앞으로 더 많은 방법들이 고안될 것이 분명해 보입니다. 다만 우리가 상상하는 것처럼 대단히 획기적이거나 파괴적이면서 새롭기까지 한 공격 기법이 나타나지는 않고 있습니다.”

프루프포인트는 “아직 악성 코드를 작성한다는 측면에서는 인간이 기계보다 아득히 높은 수준에 있다”고 강조하며 “따라서 인공지능을 돌려 간편하게 멀웨어를 만드는 상황이 벌어지려면 수년이 더 있어야 할 것”이라고 예측하고 있다. “게다가 인공지능으로 멀웨어 만드는 걸 억제하기 위한 노력도 같이 진행되고 있지요. 인공지능이 멀웨어를 양산해 세상을 잠식하는 일은, 당분간 걱정하지 않아도 될 겁니다.”

그러나 그 미래가 아주 없을 거라고는 단정하지 못하며, 그것이 대단히 긴 시간이 지난 후의 일이 될 것이라는 것도 장담할 수 없다는 게 문제라면 문제다. “게다가 공격자들의 창의력은 우리가 익히 경험해 온 바 있습니다. 지금처럼 꾸준히 인공지능을 연구하다보면 우리가 상상하지도 못한 방법으로 인공지능을 이용하는 방법이 개발될 수 있습니다. 최첨단 공상과학 영화에 나오는 무기가 나오지 않더라도, 현존하는 기술로 막기에 까다로운 정도의 공격 기법이라면 얼마든지 나올 수 있지 않을까 합니다.”

3줄 요약
1. 독일의 수많은 기업들이 인공지능을 동원한 공격에 당하고 있음.
2. 인공지능이 대단히 큰 역할을 하는 것은 아니었음.
3. 인공지능이 멀웨어를 대량 개발해 인간을 공격하는 일은 당분간 없을 것이나, 안심할 수는 없음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)