러시아 해커들의 인공지능 활용 수준, 점점 높아져
- 우크라이나 겨냥해 하이브리드전 수행 중인 러시아
- 최전방만이 아니라 후방의 민간인들까지 노리는 해킹 공격
- 인공지능과 유명 웹 서비스의 악용 점점 심해져
러시아 해커들이 인공지능을 공격에 적극 활용하고 있다고 우크라이나 정부가 공개했다. 그런 움직임 자체는 새로울 게 없지만, 그 활용의 수준이 올해 상반기에 크게 높아졌다는 게 이번 발표의 핵심이다. 우크라이나의 국가특수통신정보보호국(SSSCIP)에 의하면 “이제 러시아 공격자들은 악성코드까지 인공지능으로 작성하고 있다”고 한다. 이전까지만 해도 러시아의 ‘인공지능 활용 공격’이라는 건 피싱 메시지 작성 정도에 그쳤었다.
우크라이나에 조용히 쏟아지는 공격들
올해 상반기 동안 SSSCIP가 발견한 사이버 사건은 총 3018건이다. 2024년 하반기의 2575건에 비해 크게 증가한 수치다. “증가 추세는 주로 우크라이나 지방 정부 기관과 군 관련 기관에서 발견되고 있습니다. 작년 하반기에 비해 올 상반기 동안 러시아가 우크라이나 여러 지방과 군을 노렸다는 걸 알 수 있습니다. 대신 중앙 정부 기관과 에너지 관련 조직들에 대한 공격 비율은 낮아졌습니다.”
올 상반기 동안 발생한 공격 중 특히 주목할 만한 건 렉스틸(WRECKSTEEL)이라는 악성코드를 여러 행정기관과 주요 사회 기반 시설에 전파한 것이라고 SSSCIP는 설명한다. “이 캠페인의 배후에는 UAC-0219라는 그룹이 있었습니다. 렉스틸은 파워셸 기반 데이터 탈취 악성코드였고, 이를 통해 러시아 해커들은 우크라이나 기관으로부터 각종 정보를 가져간 것으로 추정됩니다.”
렉스틸 사건에 SSSCIP가 주목한 건 해당 코드를 작성하는 데 인공지능이 이용됐다는 흔적이 발견됐기 때문이다. 하지만 SSSCIP는 “인공지능이 코드 작성 시 사용됐다”고 주장만했지, 그 주장의 근거들은 공개하지 않았다. 때문에 해당 주장의 진위여부는 앞으로 더 검증되어야 할 것으로 보인다.
일반적으로 보안 전문가들이 특정 코드를 두고 ‘인공지능이 생성했다’고 주장할 때, 어떤 근거들을 가지고 하는 것일까?
보통 변수나 클래스 등의 이름을 정할 때, 혹은 코드 내 주석을 달 때 지나치게 일관적이거나 기계적인 느낌을 주면 인공지능이 개입됐다고 의심할 수 있다.
혹은 코드 내 동일한 논리가 미세하게만 변경된 채 반복적으로 사용되는 것도 의심을 불러일으킨다.
오류나 예외 상황을 지정할 때, 지나치게 비현실적인 경우가 상정될 경우도 인공지능의 흔적으로 간주된다.
그 외에 코드의 생성일이나 시간, 각종 빌드 아티팩트 등 메타데이터에 해당하는 것들에서 자동화 생성의 흔적이 나타나기도 한다.
SSSCIP의 주장도 이러한 것들을 바탕으로 만들어졌을 가능성이 높다.
그 외에도 러시아는 우크라이나를 겨냥해 여러 공격 캠페인을 진행했다고 SSSCIP는 발표했다. “UAC-0218의 경우 우크라이나 방위군을 겨냥해 함정이 설치된 RAR 압축파일을 통해 홈스틸(HOMESTEEL)을 유포하기도 했습니다. UAC-0226은 군과 사법기관을 대상으로 기프티드씨록(GIFTEDCROCK)이라는 정보 탈취 멀웨어를 사용하기도 했고요. UAC-0227은 지방 당국과 주요 사회 기반 시설에 아마테라스틸러(Amatera Stealer)와 스트렐라스틸러(Strela Stealer)를 심었습니다. UAC-0125는 보안 업체 이셋(ESET)을 사칭한 후 칼람버(Kalambur)라는 멀웨어를 유포했습니다.”
위 공격들이 대체로 피싱 공격 혹은 소셜 엔지니어링 공격을 통해 이뤄졌다면, 취약점 익스플로잇 행위를 통해 공격을 시도한 사례들도 적지 않다고 한다. “UAC-0001의 경우, 라운드큐브(Roundcube)와 짐브라(Zimbra) 웹메일에서 발견된 각종 취약점들을 공략하기도 했습니다. 특히 CVE-2023-43770, CVE-2024-37383, CVE-2025-49113(이상 라운드큐브의 XSS 취약점)과 CVE-2024-27443, CVE-2025-27915(이상 짐브라의 XSS 취약점)을 통해 제로클릭 공격을 실시하기도 했습니다.”
하이브리드전
우크라이나는 “러시아가 여전히 실제 물리적 공격과 사이버 공간에서의 공격을 모두 수행하고 있다”고 고발하고 있다. 즉 ‘하이브리드전’을 펼치고 있다는 것으로, 이는 공격 전술만이 아니라 공격 표적의 다양화로도 이어지고 있어 위협적이라고 우크라이나 측은 설명한다. “일례로 UAC-0002의 경우, 에너지나 인터넷 통신 시스템, 각종 연구 시설들을 집중 공략하고 있습니다. 전쟁의 후방과 민간인들의 일상까지도 노리는 것입니다.”
러시아가 이러한 전략을 펼치기 위해 타국의 여러 합법적 서비스들을 악용한다는 것도 SSSCIP가 강조한 포인트 중 하나다. “드롭박스, 구글 드라이브, 원드라이브, 비트버킷, 클라우드플레어, 텔레그램, 텔레타입, 파이어베이스 등 각종 유명 서비스들에 악성 페이지를 호스팅 하거나 유출된 데이터를 저장합니다. 그리고 이러한 플랫폼들이 점점 늘어나는 추세입니다.”
SSSCIP는 “정상적인 온라인 서비스를 공격에 활용하는 건 새로운 일이 아니며, 러시아 외 다른 해커들도 다 하는 일”이라고 말하며 “그렇기 때문에 서비스 제공자 측에서 조치를 취할 수 있어야 한다”고 강조했다. “서비스 이용자가 이런 식으로 늘어봐야 제공자에게도 좋을 게 없습니다. 시장 신뢰도가 조금씩 낮아지기 때문입니다.”
인공지능이 생성한 멀웨어, 어떻게 막나
‘인공지능이 악성코드를 생성한다’는 건 일반인들에게 어떤 의미를 갖는가? 지금으로서는 ‘멀웨어의 대량 생산’이 가장 염려되는 지점이다. 아직까지는 인공지능이 만든 멀웨어가 사람이 만든 것보다 더 정교하거나 강력하다는 증거가 없다. 다만 사람이 만든 것과 대동소이한 수준의 멀웨어가 훨씬 빠르게 완성된다는 게 문제다.
이 때문에 보안 대책은 ‘기존에 하던 것을 더 자주, 더 꼼꼼하게 한다’가 기본이다. 마이크로소프트는 “인공지능이 더 정교한 피싱 문구나 도메인을 빠르게 생성하므로 이메일과 웹게이트 방어를 강화해야 한다”고 제안한다. 또한 엔드포인트에서의 스크립트 실행을 제한하는 것도 좋은 방법이라고 말한다. 여기에 더해 다중인증을 적용하는 것도 방어벽을 한층 더 단단하게 만들 수 있다.
미국의 사이버 보안 전담 기관인 CISA는 네트워크 내 트래픽을 모니터링 및 제어하고 DNS와 HTTPS의 필터링을 더 엄격하게 해야 한다고 강조한다. 특히 알려지지 않은 도메인이나 클라우드 스토리지로 트래픽이 나갈 때 이를 일단 점검부터 해 현상을 파악해야 한다고 말한다. 드롭박스나 구글 클라우드 등 신뢰 받는 플랫폼과 연계된 트래픽도 확인해야 할 때는 확인 과정을 거치도록 하는 게 중요하다고 조언하기도 한다.
무엇보다 인공지능을 활용한 공격 사례들을 꾸준히 접해, 그에 맞는 방어 기술을 도입하고 적용하는 습관을 가지는 것도 필요하다고 전문가들은 조언한다. 인공지능을 활용한 기술은 아직 발전 중에 있으므로 방어 기술 역시 지속적인 업그레이드를 필요로 한다.
Related Materials
- Russian Hackers Intensify AI-Based Cyber Warfare in Ukraine - Executive Headlines , 2024년
- Russian Cyber Onslaught was Blunted by Ukrainian Defenders - arXiv 논문 , 2024년
- Assessing Russian Cyber and Information Warfare in Ukraine - CNA 보고서 , 2023년
- Ukraine sees surge in AI-Powered cyberattacks by Russia-linked threat actors - Security Affairs , 2024년
문가용 기자
문가용 기자
