인공지능의 위협, 동남아 덮친다

문가용 기자

Published: 23:40, 13 Oct 2025 (Updated: 07:56, 15 Oct 2025)

💡

Editor's Pick
- 싱가포르, 랜섬웨어 공격 비율 줄었나 했더니, 그게 아니네
- 동남아 전체로 확대되고 있는 랜섬웨어 위협...인공지능 때문
- 인공지능에 도움 받은 공격자들, 점점 큰 위협으로 변모

인공지능으로 인해 싱가포르를 중심으로 한 동남아시아 기업과 기관들이 위험해지고 있다는 보고서가 발표됐다. 보안 기업 카스퍼스키(Kaspersky)가 조사해 발표한 것으로, “기업들을 정교하게 노리는 표적형 랜섬웨어 공격이 새로운 추세로 떠오르고 있다”는 경고가 담겨져 있다. 또한 인공지능 덕분에 랜섬웨어 산업으로의 진입 장벽이 낮아지고 있다는 내용도 덧붙였다.

동남아시아의 위기?|
카스퍼스키의 분석에 따르면 2025년 상반기 동안 싱가포르 내 카스퍼스키 사용 기업 중 랜섬웨어 공격을 받은 곳은 그리 많지 않았다고 한다. 전체 사용자 중 단 0.18% 정도였으니 거의 없었다고 해도 무방하다. 하지만 보이는 숫자가 다가 아니라고 카스퍼스키는 강조한다. “공격자들의 전략이 바뀌었을 뿐, 랜섬웨어의 위협이 줄어들었다고 결론을 내리기는 힘듭니다.”

무슨 말일까? “0.18%라는 숫자가 뜻하는 건, 공격자들이 여러 사용자들을 무차별적으로 공략하지 않았다는 것입니다. 수익성이 높은 표적을 골라서 공격하는, 고도의 수법을 사용했다고 볼 수 있습니다. 싱가포르에 몰려 있는 국제적 기업들이나 은행 등을 콕 짚어서 공격했다는 것이죠. 그렇기 때문에 오히려 랜섬웨어의 악영향은 더 지대해졌다고도 볼 수 있습니다.”

더 큰 문제는 이런 현상이 싱가포르에서만 발견되는 게 아니라는 것이다. 카스퍼스키는 “동남아 전 지역에서 이러한 분위기가 형성되고 있는데, 그 이유는 인공지능 때문”이라고 보고서를 통해 주장했다. “인공지능이 랜섬웨어 공격을 보다 쉽게 만들어주고 있습니다. 예를 들어 펑크섹(FuncSec)이라는 랜섬웨어 조직의 경우, 아예 인공지능을 기반으로 한 랜섬웨어 공격 기술을 앞세워 급부상 중이죠. 그러면서 동남아 지역에서의 랜섬웨어 위협이 점점 커지고 있습니다.”

인공지능이 정확히 어떤 역할을 하기에 그러는 것일까? 카스퍼스키는 “공격에 필요한 기술의 난이도를 낮춰주고 비용마저 절감시켜 준다”고 설명한다. 덕분에 “전례없는 규모의 사이버 공격이 가능해졌다”고 짚는다. 즉 양적 팽창이 절대적으로 눈에 띈다는 것이다. “지금은 ‘규모’ 즉 양적인 측면에서의 위협으로 나타나고 있지만 인공지능으로 인한 고급화 역시 나타날 것”이라고 카스퍼스키는 예측한다. “그러면 더 탐지와 대처가 어려운 게 더 많이 등장할 거라는 뜻이 됩니다.”

현재 동남아를 괴롭히는 주요 랜섬웨어들
현재 이런 흐름을 타고 동남아 지역에서 현재 출몰하고 있는 랜섬웨어는 크게 다섯 가지로 꼽힌다고 카스퍼스키는 정리한다. “워너(Wanna), 젠(Gen), 크립모드(Crypmod), 크립렌(Crypren), 엔코더(Encoder)입니다.” 하지만 이는 약식 이름이고, 정식 명칭은 다음과 같다.

1) Trojan-Ransom.Win32.Wanna**
2) Trojan-Ransom.Win32.Gen**
3) Trojan-Ransom.Win32.Crypmod**
4) Trojan-Ransom.Win32.Crypren**
5) Trojan-Ransom.Win32.Encoder**

다섯 가지 모두 피해자 컴퓨터에 침투해 환경을 변경하고 데이터를 암호화 하는 기능을 가지고 있다. 어떤 경우 컴퓨터가 비정상적으로 작동하게 만들기도 한다. “그렇게 한 후 피해자가 돈을 내면 복구시킵니다. 전형적인 랜섬웨어 수법인 것입니다. 이런 행위가 최근 인공지능에 힘입어 더욱 활성화 및 고도화 되고 있어서 문제입니다. 앞으로 이 흐름이 어떤 식으로 더 악화될지는 아무도 예측할 수 없습니다. 다만 인공지능의 발전 속도를 감안했을 때, 동남아 지역이 마주할 위협은 생각보다 거대하고, 생각보다 빠르게 당도할 것으로 보입니다.”

랜섬웨어 공격에 당한 사용자의 비율. 아태지역이 2위로 올라섰다.[자료: 카스퍼스키]

우크라이나의 경고, “러시아도 인공지능 써서 사이버전 수행”
얼마 전 우크라이나의 사이버 보안 전담 기관인 SSSCIP도 비슷한 내용의 경고문을 발표했었다. 우크라이나를 겨냥해 사이버전을 실시하고 있는 러시아가 인공지능을 동원해 멀웨어를 만들고 있으며, 이것이 우크라이나에 실질적인 위협이 되고 있다는 것이었다. 다만 우크라이나가 러시아의 멀웨어에서 어떤 흔적을 발견했기에 이런 주장을 하는지는 아직 구체적으로 알려지지 않고 있다.

우크라이나의 경고문은 인공지능에만 국한돼 있지 않다. 러시아가 널리 알려진 취약점을 익스플로잇 하기도 하며, 유명 브랜드와 웹 서비스를 공격에 활용하여 피해자들을 속이거나 탐지 기술을 회피하는 등의 전략도 사용한다는 내용도 포함돼 있다. 즉 러시아가 한쪽에서는 물리전을 수행하면서 다른 한쪽에서는 총체적 사이버전도 수행한다는 것으로, 러시아의 하이브리드전 능력 전반에 대한 경고라고 볼 수 있다. 이는 최근 러시아를 통해 현대전 능력을 갖춘 북한을 주적으로 두고 있는 한국에서도 유의해서 봐야 하는 내용이기도 하다.

인공지능, 안전장치 있다면서?
인공지능 모델들에는 안전장치들이 있어 멀웨어를 만들어달라는 식의 요청에는 응하지 않는다. 그 외 각종 위험한 행위들에 대한 팁도 제공하지 않으며, 저작권 침해와 같은 기본 윤리에 저촉되는 답변도 하지 않는다. 그럼에도 최근 들어 “인공지능이 사이버 공격자들을 돕고 있다”는 내용의 보고서가 자주 나오고 있는 건 왜일까?

보안 기업 팔로알토네트웍스(Palo Alto Networks)가 자사 블로그를 통해 게시한 글에 따르면 “모델 능력이 좋아져서 할 수 있는 일이 많아졌기 때문”이라고 한다. 즉 기본 체급 자체가 급격히 올라간 덕분에 잠재력이 방대해졌다는 것이다. 그러므로 안전장치가 있음에도, 이 잠재력을 활용하려는 시도들이 끊임없이 이어지고 있고, 100% 방어가 되지 않는 것이라고 할 수 있다.

IT 외신 테크레이더(TechRadar)는 “안전장치들을 우회하는 기법들이 빠르게 진화하고 있다”고 지적한다. 각종 프롬프트 엔지니어링의 발전과, 여러 모델들을 조합하여 결과물을 만드는 방식의 개발로, 인공지능의 악용 사례가 급격히 증가하고 있다는 것이다. 다크웹에서는 이런 우회 방법이 공공연히 공유되는 편이며, 심지어 중국과 북한 정부는 아예 국가 차원에서 이러한 기술을 개발하고 있다는 의혹도 존재한다(이는 오픈AI의 10월 보고서에 언급된 바 있다).

보안 기업 크라우드스트라이크(CrowdStrike)는 “인공지능에 대한 관심이 높아지고, 인공지능을 활용한 공격과 방어에 대한 관심도 따라서 높아지면서 나타나는 현상”이라고 분석하기도 한다. 즉 “인공지능을 악용한 공격 방법이 이전보다 더 많이 탐지되고 보고서로서 작성되기 시작했다”는 것으로, 이전부터 있었던 현상이나 요즘 들어 더 가시권에 들어오는 것일 뿐이라는 의미다.

어떻게 방어해야 하나
카스퍼스키는 인공지능을 발판 삼아 빠르게 진화하는 위협에 대응하기 위해 다음과 같은 핵심 조치들을 권장하고 있다.

1) 모든 장치의 모든 소프트웨어를 최신 상태로 유지해야 한다. 그래야 알려진 취약점을 익스플로잇 하려는 시도가 막힌다.

2) 침투 그 자체도 공격이긴 하지만, 실제 피해가 발생하는 건 침투 후 ‘횡적 이동’을 하면서부터다. 그러므로 방어 전략의 초점을 ‘횡적 이동’에 맞춰야 효과적이다.

3) 횡적 이동 후 공격자들은 데이터를 바깥으로 빼돌리거나 악성 페이로드를 심는 활동을 진행한다. 그러므로 악성 트래픽에 대한 모니터링이 필수적이다.

4) 횡적 이동을 해도 소용이 없는 곳에 백업을 마련하는 게 중요하다. 즉 ‘오프라인 백업’ 체제를 반드시 갖추고 있어야 한다.

5) 공격자가 진화하는 것만큼 보안 솔루션들도 진화한다. 그러니 최신 보안 솔루션에 대한 투자도 아끼지 말아야 한다.