2024 사이버보안 최신 동향 세미나

오늘은 ‘2024 사이버보안 최신 동향 세미나’에 다녀왔습니다. 이 세미나는 과학기술정보통신부와 한국정보보호산업협회(KISIA)에서 주최했으며, ‘2024 정보보호 인재양성 교육사업 성과교류회’ 행사의 1부로 진행되었습니다.

저는 평소 개발자임에도 보안에 대해 깊게 생각해 본 적이 없고, 사이버 보안 아키텍처나 해킹 시도에 대한 방어 대책에 대해 잘 알지 못했기 때문에, 이번 기회를 통해 식견을 넓히고 자사 시스템에 적용해 보고자 참석 신청을 하게 되었습니다.

KakaoTalk_Photo_2024-12-20-13-31-28 * 발표자의 PPT를 담은 책자

삼정호텔 2층에서 진행된 이번 세미나는 깔끔한 홀과 체계적인 안내, 그리고 아나운서님의 진행까지 더해져 꽤 격식 있게 진행되었습니다. 이러한 환경 덕분에 더욱 집중해서 세미나 내용을 들을 수 있었습니다.

모던 웹의 등장과 새로운 공격 전략 - 장태진(LG전자 선임)

첫 번째 발표는 LG전자 선임으로 근무하시는 장태진 님의 발표였습니다. 발표는 프론트엔드 웹 프레임워크의 패러다임이 클래식 웹(PHP, jQuery, HTML + CSS + JS)에서 모던 웹(React, Vue, Node, Next)으로 변화한 현재, 웹 해킹(Web Hacking)이 어떻게 진화했는가를 중점적으로 다루었습니다.

모던 웹의 특징으로는 오픈소스의 적극적인 활용, 클라우드 인프라 사용 증가, 그리고 명시적 보안 조치를 통한 일반적인 웹 해킹 공격의 사전 예방을 들 수 있습니다. 이러한 보안 고도화로 인해 과거보다 웹 해킹에 대한 방어가 강화된 상황입니다.

그러나, 새로운 개발 환경과 언어를 사용하더라도 취약점은 존재하기 마련입니다. 해커의 입장에서는 단순히 ‘새로운 공격 방식’을 시도하면 그만이겠죠.

예를 들어, Prototype Pollution(프로토타입 오염)이라는 공격 방식은 (지금은 예방이 되지만) JavaScript의 Prototype을 조작해 모던 웹 환경에서 악용될 수 있었습니다. 이외에도, 직렬화 과정이나 외부에서 가져와 사용하는 라이브러리를 통해 해킹이 가능한 경우도 있었고, Race Condition(경쟁 상태)을 유발해 특정 제한 사항을 해제하거나 우회하는 방식도 사용되었습니다.

이러한 사례들에 더해서 SSRF(Server-Side Request Forgery), Docker, JWT(Json Web Token), Domain Hijacking(도메인 탈취) 등 운영 및 배포 환경의 변화에 따라 공격 방식 또한 다양화되고 있음을 사례와 함께 시사해주셨는데요.

발표는 웹 개발 시 웹 해킹을 예방할 수 있는 프로그래밍과 끊임없는 학습의 중요성을 강조하며 마무리되었습니다.

개인적으로, 이 사례들은 웹 개발 영역에 더욱 밀접한 주제를 다룬다고 느꼈습니다. 프로그래머들이 개발할 때 다양한 공격 패턴을 예측하고 예방할 수 있는 코드를 작성하며, 보안 지식을 기반으로 충분히 훈련되어야 한다는 점을 다시금 깨닫게 되었습니다.

생성형 AI를 기반으로 한 사이버 위협 전망 - 김재기 (S2W)

이번 발표는 S2W의 Cyber Threat Intelligence를 담당하시는 김재기 발표자님께서 진행하셨습니다. 딥/다크웹, 랜섬웨어, 가상화폐 해킹 등 다양한 사이버 범죄 위협이 존재하는 요즘, 특히 AI의 등장으로 이러한 범죄가 어떻게 진화했는지와 블랙 해커들이 AI를 어떻게 활용했는지에 대한 사례와 원리를 알 수 있는 발표였습니다. 실제 발표 PPT와 다르게 책자에는 몇장이 제외되어 있었는데요. 악용할 수도 있는 경우를 예방하고자 일부 페이지를 책자에서는 제외하셨다고 합니다.

우리는 현대 사회에서 LLM(대형 언어 모델)이 포함된 AI와 매우 밀접하게 지내며 이를 활용하고 있습니다. 실무자와 학생을 가리지 않고 많은 이들이 GPT와 정보를 공유하고, 이를 통해 개발하며 피드백을 받고 있습니다. 이 과정에서 GPT는 때로는 부모님이나 친구, 옆 동료, 혹은 우리의 상사보다도 더 많은 비밀과 보안 사항을 알게 됩니다. 또한, 이런 데이터를 통해 GPT는 학습하기도 하죠. 사용자가 중요한 내용을 OpenAI에 학습시키고 제공하는 것은 분명 잘못된 행동입니다.

하지만, 김재기 님의 발표는 이러한 뻔한 내용이 아닌, 블랙 해커들이 LLM을 어떻게 활용했는지와 어떤 부분을 파고들었는지 구체적인 사례를 중심으로 진행되었습니다.

김재기 님이 공유한 자료에 따르면, GPT가 등장한 이후(2022년 11월 30일) 악의성 이메일의 발생이 무려 4151%나 증가했다고 합니다.

우리의 코드를 발전시켜주고 같이 고민하는 우리의 GPT는 직업 윤리까지 갖추고 있기 때문에, 악의성 코드는 생성을 거부하지만, 나쁜 형들은 어느 동네나 있죠. 블랙 해커들의 딥/다크웹 커뮤니티 그리고 텔레그램에서는 ‘탈옥(JailBreaking)’방법을 공유하고 이 탈옥 이후 어떻게 악의성 코드를 생성해냈는지를 공유하기도 합니다. 심지어 한 해커는 ‘WORMGPT’라는 해킹용 GPT를 출시하기도 했는데요. 해당 GPT를 사용하면 랜섬웨어 코드정도는 무리없이 뚝딱 만들어주는 흑화한 GPT를 볼 수 있습니다.

위와 같은 ‘WORMGPT’사례는 약과일수도 있습니다. 요즘 시대에서는 나라에서 지원을 받는 범해커 조직들이 생겨나면서(드러나면서) 그러한 해커들 또한 LLM을 적극 활용하여 자신들의 해킹 방법을 발전시켜나가고 있습니다 Microsoft와 OpenAI측에서 GenAI를 악의적으로 활용하는 APT(Advanced Persistent Threat)그룹을 발견하거나 식별했다는 내용을 발표했습니다.

특히 Emerald Sleet이라고 불리는 북한의 해커그룹이 이전 해(2023)에 GenAI모델 LLM을 활요해 스피어 피싱 공격을 통해 정보 수집 활동을 수집 활동을 벌인 사례가 있습니다. LLM을 사용해 스피어 피싱 이메일에 사용할 콘텐츠를 생성하거나 북한관 관련된 연구기관이나 Think tank를 조사하는 데에도 도움을 받았습니다. 뿐만 아니라, 단순히 기술적 문제 해결이나 웹 기술 사용법을 이해하는 데에도 LLM을 사용한 귀여운(안귀여움) 모습도 밝혀졌습니다.
Kimsuky, Velvet Chollima라고 불리는 그룹도 이러한 활동 패턴과 유사하다고 다른 연구자들은 말했는데요. 이에 따라 Microsoft는 이를 감지하고 분석하고 있다고 합니다.

이런 사례들을 공유해주신 김재기님은 다음 말을 인용하며 교훈을 남기셨는데요.

” If our adversaries are going to be persistent in cyperspace every day, and if we continue to rely on a passive, firewall, mindset, we’ll never be successful against them.” - General Dunford.(Former Chairman of the Joint Chiefs of Staff)
“만약 우리의 적들이 매일같이 사이버 공간에서 지속적으로 공격을 감행한다면, 우리가 여전히 수동적이고 방어적인 방화벽 중심 사고에 의존한다면, 그들을 효과적으로 막아내는 데 결코 성공하지 못할 것이다.” - 제네럴 던포드 (전 미 합참의장)

해커들은 끊임없이 사이버 공격을 시도하고 발전시키고 변형시켜 활동을 멈추지 않는다는 점을 강조하며 능동적으로 선제적인 방어 전략을 준비하고 시스템을 구축해야 한다는 내용으로 발표는 마무리 되었습니다.

제로트러스트(Zero-trust)를 활용한 기업의 보안위협 대응 전략

앞선 발표들이 사이버 보안에 대한 인식과 접근 방식을 사례 중심으로 다뤘다면, 이번 발표는 기업이 보안 위협에 어떻게 대응하고 있는지에 대한 전략을 소개하는 시간이었습니다. Microsoft Security의 신종회 CSO님께서 발표를 맡아 주셨으며, 사이버 범죄에 대응하기 위한 제로트러스트(Zero-Trust) 아키텍처 도입 사례와 전략을 들을 수 있었습니다.

사이버 범죄(Cybercrime)의 GDP는 약 8조 달러(8경 원)로 추정되며, GDP 성장률은 미국, 중국, 인도를 능가하는 15%에 달한다고 합니다. 이는 사이버 범죄가 단순한 위협을 넘어 하나의 거대한 산업으로 자리 잡았음을 보여줍니다.

사이버 보안에 관심이 있는 분들이라면 국내 기업들이 랜섬웨어에 걸렸다는 뉴스를 가끔 접해보셨을 텐데요. 안타깝게도 랜섬웨어 공격의 피해를 입은 조직 대부분은 500명 미만의 중소규모 사업체라고 합니다. 과거 랜섬웨어는 해커가 자신의 실력을 검증하기 위한 수단으로 사용되었으나, 이제는 약 66달러의 선불금으로 거래되는 랜섬웨어 키트와 수익/제휴 모델까지 갖춘 하나의 시장으로 발전했습니다. 예를 들어, 우리의 웹사이트 비밀번호는 제로콜라보다 싼 가격으로 거래될 수 있고, 250달러 정도면 프리랜서 해커를 고용해 외주를 맡길 수 있는 수준이라고 합니다. 해킹이 이제 하나의 거대한 산업 형태로 변화한 것이죠.

현재 러시아, 중국, 이란, 북한 등 국가 차원에서 지원하는 글로벌 해커 조직들이 활동 중이며, 주요 타겟은 유럽(우크라이나), 중동(이스라엘), 아시아(한국)입니다. 이들 지역의 공통점은 모두 전쟁이나 분쟁 상황에 있다는 점입니다.
국내에서도 과학기술정보통신부, 국정원, 한국정보보호산업협회(KISIA) 등이 보안 지원을 위해 노력하고 있지만, 기업 차원에서도 보안 시스템 구축에 상당한 노력을 기울이고 있습니다. 과거에는 망 분리와 네트워크 계층을 겹겹이 쌓는 방식의 보안이 일반적이었으나, 이는 트로이목마 바이러스나 랜섬웨어와 같은 위협에 효과적이지 못했습니다. 단순한 임직원의 실수만으로도 방어 체계가 무너질 수 있었기 때문입니다.

따라서 이러한 점을 보완하기 위해 등장한것이 ‘신뢰 기반형 패러다임(Zero-Trust)’입니다. “그 무엇도 검증 전에는 신뢰해선 안된다”라는 개념으로 사용자 관리, 디바이스 관리 그리고 Micro-Segementation개념을 포함하고 있는데요. 이는 다중 계층 보안을 도입하고 보안 등급을 세분화하여 망 분리의 한계를 보완하려는 전략입니다.

특히 Micro-Segmentation 개념을 강조하셨었는데, 이는 워크로드 단위의 세분화된 보안 정책을 통하여 전통적인 수직접근을 포함한 수평 이동을 통제하고 사이버 공격에 대한 저항력을 강화하는 보안 아키텍처입니다. 이를 통해 최소 권한 원칙을 구현하며, 멀티 클라우드 및 하이브리드 클라우드 환경에서도 트래픽 가시성과 맞춤형 보안을 제공합니다.

기업들이 이러한 새로운 보안 아키텍처를 도입하려는 이유는 글로벌 시장 변화와 관련이 있습니다. 여러 기업과의 협업, LLM을 활용한 서비스 고도화 및 생산성 증대, SaaS 서비스 활용 등을 통해 시장의 요구를 충족하려는 것입니다. 신종회 CSO님은 본인이 NC소프트에서 근무하던 당시의 실제 도입 사례를 공유하며 발표를 마무리하셨습니다.

후기

현실적으로, 보안팀조차 없는 작은 기업에서는 사내 보안망을 고도화하기가 어려울 것입니다. 세미나가 끝난 후 KISIA 사이트를 방문해 보니, 중소기업을 위해 무료로 보안 취약점을 점검해 주는 프로그램도 있다고 합니다. 이러한 지원을 통해 중소기업도 보안 위협에 대응할 수 있는 기반을 마련할 수 있기를 기대합니다.

오늘 발표를 들으며 느낀 점은, 보안은 더 이상 특정 전문가나 보안팀만의 책임이 아니라는 것입니다. 발표 내용 중 임직원의 단순 실수로 방어 체계가 무너질 수 있다는 사례를 들었을 때, 나 자신부터 보안에 대해 얼마나 인식하고 있었는지 되돌아보게 되었습니다.

또한, 기술적으로 뛰어난 보안 아키텍처도 중요하지만, 이를 활용하는 사람들의 보안 의식과 태도 또한 필수적이라는 점이 인상 깊었습니다. 특히, “검증 전에는 그 무엇도 신뢰하지 않는다”는 제로트러스트의 기본 원칙은 개인적으로도 업무와 생활에서 적용할 수 있는 중요한 교훈으로 느껴졌습니다. 앞으로는 나도 보안에 대한 학습을 게을리하지 않고, 지금의 개발자로서 어떤 방식으로 보안 강화를 실천할 수 있을지 고민해 봐야겠다고 다짐했습니다.