하이테크 사이버 공격에 대한 ‘로우테크’ 해결책

2025년이 AI 사이버 범죄의 해가 될 것이라는 우려가 있지만, 사실 이 흐름은 이미 2024년에 시작됐다.

AI를 활용한 범죄는 점점 더 압도적인 수준으로 발전하고 있다. 이를 막을 유일한 방법은 AI 기반 보안 소프트웨어를 이용하는 것뿐이라고 말하는 이들도 있다. 그러나 최근에 등장한 2가지 간단하고 기술적 진입 장벽이 낮은 방법이 주목받고 있다. 이 방법은 기업 및 개인 사용자 모두에게 적용할 수 있다.

2가지 기술을 설명하기 전에, AI가 범죄에 어떻게 악용되고 있는지부터 알아보자.

AI 기반 공격의 현재와 미래

AI를 활용한 공격은 피싱 이메일 작성에서 그 위력을 보여주고 있다. 문법적으로 완벽할 뿐 아니라 각 피해자를 위한 개인화된 세부 정보를 갖춘 피싱 이메일을 생성한다. AI를 사용하면 영어뿐 아니라 다른 어떤 언어로든 공격을 전달할 수 있다.

AI는 수천 건의 동시 공격을 수행할 수 있는 능력을 일반적인 해커에게까지 제공한다. 과거에는 국가 차원의 대규모 공격으로만 가능했던 일이다. 특히 2025년에는 AI 에이전트 간 협력을 의미하는 ‘AI 스웜(swarm)’을 악용한 공격이 기업에 새로운 위협으로 다가올 전망이다.

물론 피싱과 맬웨어도 의료 기관, 공급망 및 기타 표적에 혼란을 야기하는 다각적인 랜섬웨어 공격을 촉진한다. 랜섬웨어 공격으로 인해 2031년까지 전 세계적으로 매년 2,650억 달러 이상의 비용이 발생할 것으로 예상되는데, 이는 부분적으로 공격에 AI를 사용되기 때문이다.

실시간 딥페이크 기술도 발전하면서 사기꾼, 범죄자, 심지어 국가 후원의 공격자는 화상 통화 중 신원을 속이고 보안 조치를 우회해 정보를 탈취할 수 있는 새로운 방식으로 사용하고 있다. AI 음성 복제 기술은 전화 기반 신원 도용에 큰 영향을 미치고 있다. AI 봇은 실시간으로 일회용 비밀번호를 가로채는 데 활용되고 있다.

AI는 사이버 공격 전반을 가속화하고 자동화할 수 있다. 예를 들어, AI를 활용한 자동화된 취약점 탐지 및 악용은 공격자가 시스템의 약점을 신속히 파악하고 이용할 수 있게 한다. 또한, AI는 탐지를 회피하면서 시스템에 지속적으로 머무를 수 있는 능력을 제공해 초기 침입이 초래하는 피해를 더욱 확대한다. AI는 데이터의 가치에 대한 정보 추출에 유용하므로 대량의 데이터가 한번 유출되면 해커는 더욱 신속하고 철저하게 데이터를 악용할 수 있다.

국가 차원의 해커는 딥페이크를 활용해 선거 개입과 같은 정치적 목표를 달성하고 있다. 후보자를 사칭하거나 비방하는 밈을 만들고, AI로 생성된 프로필 사진과 콘텐츠로 완성된 더욱 설득력 있는 가짜 계정을 생성한다. 이를 통해 선거 캠페인에 영향을 미칠 수 있는 대규모 허위 여론을 조성하고 있다.

AI가 결합된 스파이웨어의 부상

언론인 로난 패로우의 HBO 다큐멘터리 <서베일드(Surveilled)>는 급성장 중인 상업용 스파이웨어 산업에 관한 내용이다. 가장 대표적이고 효과적인 제품은 NSO 그룹(NSO Group)의 페가수스(Pegasus) 스파이웨어다.

서베일드에 따르면, 페가수스는 공격자가 원격으로 스마트폰의 마이크와 카메라를 켜고 녹음/녹화할 수 있게 해준다. 이 모든 과정은 휴대폰에 어떠한 표시도 없이 진행되며, 녹음/녹화본을 사용자 몰래 공격자에게 전송할 수 있다. 뿐만 아니라 휴대폰에 있는 모든 데이터를 복사해 유출할 수 있다.

페가수스 자체는 AI를 사용하지 않지만, AI 도구와 결합해 얼굴 인식, 데이터 분석, 패턴 탐지 등 다양한 작업에 사용되고 있다. NSO 그룹은 페가수스를 정부에만 판매한다고 주장하지만, 이런 주장은 독립적으로 검증되지 않았고 판매에 대한 규제도 없다.

AI 기반 공격을 막는 간단한 방법 2가지

일반적인 사이버보안 권고 사항은 이미 널리 알려져 있다.

• 다중 인증(Multi-Factor Authentication)을 포함한 강력한 인증 수단을 도입하고, 철저한 보안 정책을 마련한다.
• 모든 소프트웨어 시스템을 최신 상태로 유지하고 보안 취약점을 신속히 해결한다.
• 직원에게 사이버보안의 중요성과 베스트 프랙티스를 교육한다.
• 방화벽 및 엔드포인트 보호 솔루션을 배포한다.
• 네트워크 경계 및 IoT 연결 보안을 강화한다.
• 제로 트러스트 보안 모델을 채택하고 최소 권한 원칙을 적용한다.
• 중요 데이터를 백업 및 암호화한다.
• 정기적인 보안 감사 및 취약점 평가를 실시한다.
• 네트워크 세분화(Network Segmentation)를 통해 잠재적 피해 범위를 최소화한다.
• 최신 사고 대응 계획을 수립 및 유지한다.
• 인적 오류를 위해 사람 중심의 보안 접근 방식을 고려한다.

이런 관행을 종합적으로 적용하면, 사이버보안 태세를 개선하고 잠재적 공격 성공 가능성을 줄일 수 있다. 하지만 이는 비용이 많이 들고 전문 지식이 필요하며, 많은 직원의 반복적인 노력이 필요하다. 한 사람이 혼자서 할 수 있는 일은 아니다.

그렇다면 개인이 AI로 강화된 공격, 사기, 스파이웨어로부터 자신의 기기를 더 잘 보호하기 위해 무엇을 할 수 있을까? FBI와 로난 패로우가 제안한 방법은 누구나 쉽게 따라 할 수 있다.

1. 비밀 단어 사용하기

FBI는 최근 생성형 AI를 악용해 대규모 금융 사기를 저지르는 범죄자에 대한 경고를 발표했다. 이번 경고는 기업보다는 소비자를 대상으로 하고 있지만, 제안된 해결책은 소규모 팀 내 혹은 임원과 비서 간에서도 적용할 수 있다.

FBI는 AI를 사용해 신원을 도용하거나 사람을 사칭하고 소셜 엔지니어링을 통해 사기와 절도를 저지르는 다양한 사례를 열거한 뒤, 신원을 신속하게 확인할 수 있는 효과적인 방법 중 하나로 ‘비밀 단어’를 사용할 것을 제안했다.

이 비밀 단어는 한번 정하면 신속하고 강력한 신원 확인 수단으로 작용할 수 있다. 물론 기록으로 남기지 않아야 한다는 점이 중요하다. 이 단어가 디지털로 저장되거나 인터넷에 존재하지 않기 때문에 도난당할 위험이 없다. 예를 들어, 직장 상사나 배우자가 전화를 걸어 데이터를 요청하거나 송금을 요구한다면, 비밀 단어를 물어봄으로써 그들이 진짜인지 확인할 수 있다.

또한 FBI는 온라인에 게시하는 오디오, 비디오, 사진을 제한하고, 잘 알고 있는 번호로 전화를 걸어 상대방에게 다시 확인을 요청하는 등의 방법도 제안했다. 그러나 비밀 단어를 사용하는 것이 가장 유용해 보인다.

2. 스마트폰 매일 재부팅하기

다큐멘터리에서 파로우는 스파이웨어를 방지하는 간단한 방법으로 매일 휴대전화를 재부팅하라고 강조했다 파로우는 대부분 스파이웨어가 재부팅하면 제거된다며, 매일 휴대전화를 재부팅하면 스파이웨어가 휴대전화에 남아 있지 않도록 할 수 있다고 설명했다.

파로우는 또한 OS와 앱을 최신 버전으로 업데이트하는 것의 중요성도 강조했다.

가능한 한 예산 내에서 최선의 보안 관행을 실천하라. 동료, 상사, 가족과 비밀 단어를 설정하고, 매일 휴대전화를 재부팅하라.
[email protected]