Home > 전체기사

AI 노리는 대표적 공격 3가지는? AI 모델 공유 플랫폼, AI 취약점, 데이터 오염

입력 : 2024-06-25 11:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
AI를 활용한 사이버 위협으로 신분위장, 피싱 콘텐츠 제작, 악성코드 제작 꼽혀
플랫폼 공격은 기반시설 공격, 클라우드 인프라 공격, SW공급망 공격으로 구분
위협 인텔리전스, 사이버공격 사전 파악 및 신속한 대응 통한 피해 최소화 위해 필요


[보안뉴스 김경애 기자] 가트너가 발표한 ‘2024년 주요 전략기술 동향(Top Strategic Technology Trends 2024)’에서 가장 많이 언급된 단어가 AI와 플랫폼이다. 이는 사이버 보안 위협 측면에서도 공통된 사항이다. AI를 노리는 공격이 점차 활발해지고 있으며, 파급력을 높이기 위해 플랫폼을 타깃으로 공격하는 추세인 것.

[이미지=gettyimagesbank]


이와 관련 금융보안원 침해위협분석팀 유영목 팀장은 ‘2024 사이버보안 콘퍼런스’에서 AI를 타깃으로 한 사이버위협 사례로 △AI 모델 공유 플랫폼 공격 △AI 취약점 공격 △데이터 오염을 꼽았다.

첫째, AI 모델 공유 플랫폼 공격은 AI 모델을 제공하는 공유 플랫폼을 악용해 악성코드를 유포한다. 둘째, AI 취약점 공격은 AI 시스템의 취약점을 악용해 악성코드를 실행하는 공격이다. 셋째, 데이터 오염은 검색증강생성(RAG)과 같이 AI 모델이 참조하는 데이터를 오염시켜 악성행위를 유발하는 것이다.

다음으로 AI를 악용한 사이버위협 사례로 유영목 팀장은 △신분위장 △ 피싱 콘텐츠 제작 △악성코드 제작을 꼽았다. 첫째, 신분위장에 대해 유 팀장은 “딥페이크 기술을 이용해 신분을 위장하거나 악성앱을 통해 개인정보를 수집해 신분을 위장한다”며 “2023년 10월 GoldPickaxe 악성앱은 금융회사 앱으로 위장해 개인정보를 수집했는데, 수집된 정보는 SMS, 얼굴 비디오, 신분증 사진, 계정 정보 등”이라고 밝혔다.

둘째, 피싱 콘텐츠 제작이다. 피싱 콘텐츠 제작은 생성형 AI를 이용해 스피어피싱 이메일 문구를 생성하고, 이용자를 피싱 사이트로 유도한다. 피싱 사이트 역시 AI를 이용해 보안 이메일, 현금배당 안내, 상품 계약서 등 정교하게 만든 웹페이지를 바탕으로 이용자를 속여 피해를 입힌다.

셋째, 악성코드 제작이다. 생성형 AI를 이용한 악성코드 개발은 챗GPT를 이용해 랜섬웨어를 제작하는 사례를 예로 들 수 있다.

다음으로 주요 사이버위협 사례는 플랫폼 공격이다. 플랫폼 공격은 △기반시설 공격 △클라우드 인프라 공격 △SW공급망을 공격하는 것으로 구분된다.

이와 관련 유영목 팀장은 “기반시설 공격은 금융, 통신, 유통 등 경제활동의 기반이 되는 주요 시설을 공격하는 것”이라며, “클라우드 인프라 공격은 컴퓨팅 자원(서버, 저장소, 네트워크 등)을 제공하는 시스템을 공격하고, 불법 취득한 인증정보로 클라우드 접속 및 저장소 데이터에 접근해 클라우드 데이터를 유출하는 공격”이라고 설명했다. 특히 악성코드 유포지 및 C&C 서버로 일반 클라우드를 활용한다는 것이다.

또한 SW공급망 공격은 소프트웨어 업데이트 배포 과정을 이용해 악성코드를 배포하는 공격이다. 이와 관련 유영목 팀장은 악성코드 주입 -> 악성코드가 삽입된 영상통화 프로그램 다운로드 -> 가상자산 사업자로부터 시스템 정보, 계정정보를 북한 해킹조직에게 전송하는 사례를 예로 들었다.

마지막으로 서비스형 악성코드 활용이다. 이는 Maas(Malware as a Service), RaaS(Ransomware as a Service) 등 해커가 판매하는 악성코드를 구매해 공격에 활용하는 것이다.

이러한 보안 위협에 대비하기 위해 유영목 팀장은 위협 인텔리전스의 필요성을 언급하며 “위협 인텔리전스는 사이버 공격을 사전에 파악하고 신속하게 대응해 피해를 최소화하기 위해 필요하다”며 “사전 예방을 통해 공격으로 인한 피해와 복구 비용을 절감할 수 있다”고 말했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)