10일 IBM이 발표한 ‘2024 엑스포스 위협 인텔리전스 인덱스 보고서(2024 X-Force Threat Intelligence Index)’에 따르면 사이버 공격자들이 해킹에서 유효한 자격 증명을 사용해 단순히 ‘로그인’해 공격하는 건수가 전년 대비 71% 증가했다.
이 보고서는 130여 개국에서 매일 1500억 건 이상의 보안 이벤트를 모니터링하여 얻은 인사이트와 관찰 결과를 기반으로 작성된다. IBM 내 여러 소스와 IBM이 인수한 레드햇 인사이트 및 인테저(Intezer)에서 데이터를 수집하고 분석한 내용을 담고 있다.
다크 웹에 퍼진 인증정보 활용
다크 웹(Dark Web·암호화된 네트워크에 존재하는 웹 콘텐츠)에서는 수십억 개의 유출된 인증정보에 접근할 수 있다.
IBM 보고서에 따르면 지난해 이메일, 소셜 미디어 및 메시징 앱 인증정보, 은행 정보, 암호화폐 지갑 데이터 등과 같은 개인 식별 정보를 탈취하게 설계한 인포스틸링(infostealing)멀웨어가 266%나 증가했다. 해커들이 사용자의 신원을 확보하기 위한 작업에 더 많은 투자를 하고 있는 셈이다.
유효한 계정 쓰면 보안팀 대응 어려워
하지만, 이런 경로는 기업들이 탐지하기 어렵다. 유효한 계정을 사용한 침해 사고는 일반적인 침해 사고보다 보안 팀의 대응 조치가 약 200% 더 복잡했다.
IBM은 유출된 인증정보로 인한 침해 사고는 탐지와 복구에 약 11개월이 걸려 침해 사고 중 대응 주기가 가장 길었다고 밝혔다.
문제는 생성형 AI
그런데 앞으로는 공격자들이 생성형 인공지능(AI)을 활용할 것으로 예상된다. 지난해 다크웹 포럼에서는 AI와 GPT에 관한 80만 개 이상의 게시물이 관찰됐고, 이러한 신기술이 사이버 공격자들의 관심을 끌고 있다는 점이 확인됐다.
IBM은 보고서에서 ‘우리가 대응한 공격의 약 70%가 주요 인프라 조직에 대한 공격이었는데, 안타깝게도 85%에서는 패치, 다중 인증 또는 최소 권한 원칙 등 보안 업계가 지금까지 ‘기본적인 수준의 보안’이라고 정의한 것만 지켜졌어도 피해를 완화할 수 있었다’고 설명했다
하지만 앞으로 위험은 더 커질 수 있다. 단일 기술이 시장 점유율 50%에 근접하거나, 시장이 3개 이하 기술로 통합되는 등 특정 생성형 AI의시장 지배력이 높아지면 AI가 공격 대상이 될 가능성이 더 높아질 것으로 봤다.
IBM은 기본 인프라가 AI 모델에 대한 공격의 관문으로 작용할 수 있다면서 생성형 AI 시대에는 보안에 대한 총체적인 접근 방식이 필요하다고 조언했다.
한국IBM 컨설팅 사이버보안 서비스 사업 총괄 및 최고운영책임자(COO) 배수진 전무는, “‘보안 기본 원칙’은 ‘AI’ 키워드만큼 많은 관심을 받고 있지는 않지만, 아시아태평양 지역의 가장 큰 보안 과제는 패치되지 않은 알려진 취약점”이라며, “특히 신원은 계속해 악용되고 있으며, 공격자들이 전술을 최적화하기 위해 AI와 같은 신무기를 사용하게 되면서 이 문제는 더욱 악화될 것이므로 기업들의 선제적인 대응 준비가 중요하다”고 강조했다.