“내부자인듯 속인다”…IBM, 신원정보 탈취 71% 증가

[이데일리 김현아 기자] 컴퓨터 시스템에 접속하면서 내부자가 아닌데 내부자인것처럼 속이는 사례가 크게 증가하고 있어 걱정을 키우고 있다. 앞으로 인공지능(AI)이 발전할수록 사이버 공격을 촉발할 가능성이 커지고 있는 것이다.

10일 IBM이 발표한 ‘2024 엑스포스 위협 인텔리전스 인덱스 보고서(2024 X-Force Threat Intelligence Index)’에 따르면 사이버 공격자들이 해킹에서 유효한 자격 증명을 사용해 단순히 ‘로그인’해 공격하는 건수가 전년 대비 71% 증가했다.

이 보고서는 130여 개국에서 매일 1500억 건 이상의 보안 이벤트를 모니터링하여 얻은 인사이트와 관찰 결과를 기반으로 작성된다. IBM 내 여러 소스와 IBM이 인수한 레드햇 인사이트 및 인테저(Intezer)에서 데이터를 수집하고 분석한 내용을 담고 있다.



다크 웹에 퍼진 인증정보 활용

다크 웹(Dark Web·암호화된 네트워크에 존재하는 웹 콘텐츠)에서는 수십억 개의 유출된 인증정보에 접근할 수 있다.

IBM 보고서에 따르면 지난해 이메일, 소셜 미디어 및 메시징 앱 인증정보, 은행 정보, 암호화폐 지갑 데이터 등과 같은 개인 식별 정보를 탈취하게 설계한 인포스틸링(infostealing)멀웨어가 266%나 증가했다. 해커들이 사용자의 신원을 확보하기 위한 작업에 더 많은 투자를 하고 있는 셈이다.

유효한 계정 쓰면 보안팀 대응 어려워

하지만, 이런 경로는 기업들이 탐지하기 어렵다. 유효한 계정을 사용한 침해 사고는 일반적인 침해 사고보다 보안 팀의 대응 조치가 약 200% 더 복잡했다.

IBM은 유출된 인증정보로 인한 침해 사고는 탐지와 복구에 약 11개월이 걸려 침해 사고 중 대응 주기가 가장 길었다고 밝혔다.

문제는 생성형 AI

그런데 앞으로는 공격자들이 생성형 인공지능(AI)을 활용할 것으로 예상된다. 지난해 다크웹 포럼에서는 AI와 GPT에 관한 80만 개 이상의 게시물이 관찰됐고, 이러한 신기술이 사이버 공격자들의 관심을 끌고 있다는 점이 확인됐다.

IBM은 보고서에서 ‘우리가 대응한 공격의 약 70%가 주요 인프라 조직에 대한 공격이었는데, 안타깝게도 85%에서는 패치, 다중 인증 또는 최소 권한 원칙 등 보안 업계가 지금까지 ‘기본적인 수준의 보안’이라고 정의한 것만 지켜졌어도 피해를 완화할 수 있었다’고 설명했다

하지만 앞으로 위험은 더 커질 수 있다. 단일 기술이 시장 점유율 50%에 근접하거나, 시장이 3개 이하 기술로 통합되는 등 특정 생성형 AI의시장 지배력이 높아지면 AI가 공격 대상이 될 가능성이 더 높아질 것으로 봤다.

IBM은 기본 인프라가 AI 모델에 대한 공격의 관문으로 작용할 수 있다면서 생성형 AI 시대에는 보안에 대한 총체적인 접근 방식이 필요하다고 조언했다.

한국IBM 컨설팅 사이버보안 서비스 사업 총괄 및 최고운영책임자(COO) 배수진 전무는, “‘보안 기본 원칙’은 ‘AI’ 키워드만큼 많은 관심을 받고 있지는 않지만, 아시아태평양 지역의 가장 큰 보안 과제는 패치되지 않은 알려진 취약점”이라며, “특히 신원은 계속해 악용되고 있으며, 공격자들이 전술을 최적화하기 위해 AI와 같은 신무기를 사용하게 되면서 이 문제는 더욱 악화될 것이므로 기업들의 선제적인 대응 준비가 중요하다”고 강조했다.