생성형 AI악용한 전세계 해킹 그룹 APT공격 확산

안녕하세요. No.1 IT 솔루션 전문 기업 인스피언(주)입니다. 생성형 AI를 악용한 사이버 위협과 국제 분쟁으로 더욱 활발해지는 핵티비스트의 활동이 2025년에 증가할 것으로 예상되는 주요 위협으로 꼽히고 있습니다. 구글에서 AI를 오용하며 사이버 위협을 행하는 활동에 대한 보고서인 생성형 AI의 두 얼굴: 악용 사례와 대응 전략을 발표하며 Google의 AI기반 어시스턴트인 Gemini와 위협 행위자가 어떻게 상호 작용했는지에 대한 종합적인 분석 결과를 공유했습니다. 전세계 APT 해킹 그룹에서 AI를 악용한 사이버 공격 방법을 살펴보며 악의적인 활동을 사전에 차단할 수 있는 방법에 대해 알아보겠습니다.

APT그룹에서 구글 AI서비스 Gemini 활용 사례

Google 에서 APT해킹 그룹 Gemini활용 사례를 분석한 결과 20개국 이상의 APT그룹이 생성형 AI를 활용하고 있음을 확인했습니다. 이 중 이란과 중국에서 사용량이 가장 많았다고 밝혔습니다. APT그룹은 잠재적 인프라 및 무료 호스팅 제공 업체 조사, 표적 조직 정찰, 취약점 연구, 페이로드 갭ㄹ, 악성 스크립팅 및 탐지 회피 기술 지원 등 공격 수명 주기의 여러 단계를 수행하는 데 Gemini를 활용했습니다.

이란: 이란 APT그룹은  Gemini를 가장 많이 활용한 APT그룹입니다. 방어 조직 연구, 취약점 연구, 캠페인용 콘텐츠 제작 등 광범위한 목적으로 사용했습니다. APT42는 피싱 캠페인 제작, 방어 전문가 및 조직에 대한 정찰 수행, 사이버 보안 테마의 콘텐츠 생성에 집중했습니다.

중국: 중국 APT그룹은 정찰, 스크립팅 및 개발, 코드 문제 해결, 표적 네트워크에 대한 더욱 심층적인 접근 권한을 얻는 방법 연구를 위해 Gemini를 사용했습니다. 횡적 이동, 권한 상승, 데이터 유출, 탐지 회피 등의 주제에 집중했습니다.

북한: 북한 APT그룹은 잠재적 인프라 및 무료 호스팅 제공 업체 연구, 표적 조직 정찰, 페이로드 개발, 악성 스크립팅 및 회피 기술 지원을 포함하여 공격 수명 주기의 여러 단계를 지원하기 위해 Gemini를 사용했습니다. 특히 북한 행위자들은 해외기업에 비밀 IT인력을 배치하기 위해 자기소개서 작성 및 직업 연구를 위해 Gemini를 사용하기도 했습니다.

러시아: 러시아 APT그룹의 경우 AI를 기존 악성코드를 다른 프로그래밍 언어로 변환하거나, 암호화 계층을 추가하는 데 주로 활용했습니다. 기존 악성코드의 탐지를 회피하고, 새로운 변종을 생성하는 데 사용했습니다.

*APT(Advanced Persistent Threat): 지능형 지속 위협으로, 사이버 스파이 활동 및 파괴적인 컴퓨터 네크워크 공격을 포함하는 정부 지원 해킹 활동을 의미

참고자료:
데일리시큐 https://www.dailysecu.com/news/articleView.html?idxno=163365
구글 https://cloud.google.com/blog/ko/topics/threat-intelligence/adversarial-misuse-generative-ai

AI공격에 대응하기 위한 방안

AI를 활용한 피싱 공격과 소셜 엔지니어링이 점점 더 정교해짐에 따라 기업은 보안 인식 교육을 강화해야 합니다. 직원들은 최신 사이버 위협에 대한 이해도를 높이고, 피싱 이메일이나 악의적인 접근 시도를 효과적으로 식별할 수 있도록 정기적인 보안 교육을 받아야 합니다. 특히 AI기반 공격은 기존의 단순한 피싱 기법보다 더욱 자연스럽고 맞춤형으로 구성되기 때문에 실전 시뮬레이션 훈련과 최신 사례 중심의 교육이 필수적입니다.

또한, 글로벌 보안 위협 정보를 실시간으로 모니터링하고 AI악용 사례를 신속하게 식별하는 것이 중요합니다. 위협 인텔리전스를 활용하면 AI를 이용한 새로운 공격 기법과 악성 도구의 확산을 조기에 감지하고 선제적인 대응이 가능합니다. 기업은 신뢰할 수 있는 위협 정보 공유 네트워크를 구축하고, 최신 보안 데이터를 기반으로 보안 정책을 지속적으로 업데이트해야 합니다.

AI기술이 악용되지 않도록 관련 법률과 기업 보안 정책을 주기적으로 검토하고 강화해야 합니다. AI를 활용한 사이버 공격이 증가하는 만큼, 기업은 내부 보안 지침을 더욱 엄격하게 적용하고 규제 준수를 위한 프로세스를 정비해야 합니다. 특히 AI생성 콘텐츠 및 자동화된 보안 대응 시스템과 관련된 법적 요건을 지속적으로 반영하여 법적 리스크를 최소화하고 안전한 보안 환경을 구축하는 것이 필요합니다.

인스피언 통합보안관리 솔루션 BizInsdier SIEM

인스피언 통합보안관리 솔루션 BizInsider SIEM은 실시간 로그 수집, 분석, 모니터링을 통해 기업의 정보 보안 태세를 강화하는 핵심 솔루션입니다.

BizInsider SIEM은 다양한 IT환경에서 발생하는 로그 데이터를 실시간으로 수집하고 통합합니다. 방화벽, IDS/IPS, 웹서버, 데이터베이스, 클라우드 플랫폼 등 여러 소스에서 생성되는 로그를 하나의 플랫폼에서 관리하여 포괄적인 보안 모니터링이 가능합니다. 대규모 데이터를 여러 노드에 분산하여 저장하고 처리함으로써 시스템 성능을 향상시키고 데이터 손실 위험을 최소화합니다. 특히 분산 아키텍처를 기반으로 대용량의 로그 데이터를 실시간으로 분석하여 빠르고 정확한 보안 위협 탐지 및 대응을 지원합니다. 이를 통해 보안팀은 위협을 신속하게 식별하고 효과적인 조치를 취할 수 있습니다.

BizInsider SIEM은 로그 추출, 통합, 분석, 보고서 생성 등 반복적인 작업을 자동화하여 보안 담당자의 업무 효율성을 극대화합니다. 자동화된 프로세스를 통해 보안팀은 핵심 보안 업무에 집중할 수 있으며, 시간과 리소스를 절약하여 보다 중요한 보안 과제 해결에 전념할 수 있습니다. 탐지 정책 시뮬레이션 기능을 제공하여 실제 환경에 영향을 주지 않고 다양한 보안 시나리오를 테스트할 수 있습니다. 이를 통해 탐지 규칙을 최적화하고 오탐 및 과탐을 최소화하여 보다 정확한 탐지 정책을 구축할 수 있습니다. 또한 실시간 모니터링을 통해 중요한 보안 메트릭을 지속적으로 감시하고, 이상 징후가 감지되면 즉각적인 경고를 발송합니다.

BizInsider SIEM은 SOAR솔루션과 연동하여 사고 및 대응 워크플로우를 자동화할 수 있으며, SOAR는 사고 감지, 분석, 대응, 복구까지의 전체 과정을 자동화하여 보안 운영의 효율성을 극대화합니다. BizInsider SIEM 솔루션에 대해 궁금한 점이 있다면 지금 바로 문의해 주세요!