크라우드스트라이크, '2025 글로벌 위협 보고서' 발표
생성형 AI 활용한 보이스피싱 증가…지난해 하반기 442% 급증
악성코드 없는 해킹…취약점 공격 단 51초만에 공격받은 사례도

[서울=뉴시스]

[서울=뉴시스]송혜리 한이재 수습 기자 = # "어? 대표님이 아까 하시지 않았나요?." 지난해 모 글로벌 컨설팅 기업은 황당한 사고를 당할 뻔 했다. 이 회사 최고경영자(CEO)의 목소리를 사칭해 누군가 자금팀 직원에게 자금이체를 요청받은 것. 인공지능(AI) 기술을 활용해 CEO 목소리를 그대로 합성했던 것으로 밝혀졌다.

앞서 홍콩에서는 회사 최고재무책임자(CFO)와 직원들의 딥페이크 영상 복제본을 만들어 약 2560만 달러(약 350억원)의 회사 자금을 이체하는 사고가 적발되기도 했다.

이처럼 인공지능(AI) 딥페이크 기술을 악용한 보이스 피싱 범죄가 전세계적으로 빠르게 늘고 있다.

3일 글로벌 사이버 보안 기업 크라우드스트라이크가 발표한 최신 보고서에 따르면, AI 딥보이스 기반 피싱 범죄 사례가 지난해 상반기 49건에서 하반기에는 266건으로 약 442% 늘어난 것으로 나타났다.

이외 생성형 AI기술을 활용한 사회공학적 공격과 악성코드 없이 시스템에 침투하는 비악성코드 기반 침투 등 사이버 공격 등 사이버 공격 기법이 전방위적으로 진화되고 있다.

이번 보고서는 크라우드스트라이크가 250개 이상의 사이버 공격 세력과 140개의 새로운 위협 클러스터를 추적한 내용을 바탕으로 작성됐다. 회사는 보고서를 통해 "AI 기술이 사이버 범죄자들에게 새로운 무기를 제공하면서, 위협의 속도와 정교함이 이전과는 비교할 수 없을 정도로 강화되고 있다"고 경고했다.

생성형 AI 활용하는 해커들

보고서에 따르면, AI를 활용한 피싱·사칭 수법의 정교화로 인해 지난해 하반기 보이스피싱 사례는 상반기 대비 442%나 증가했다.

크라우드스트라이크 측은 대부분의 보이스피싱 범죄사례들의 경우 공격자들이 IT 지원 인력을 사칭해, 연결 문제나 보안 문제 해결을 명목으로 사용자를 속였다고 설명했다. IT 직원을 사칭해 피해자에게 전화를 걸고 악성 파일을 다운로드하도록 유도하거나, 가짜 로그인 페이지에 자격 증명을 입력하도록 속이는 방식을 사용한다.

이 가운데 컬리 스파이더, 채티 스파이더, 플럼프 스파이더 등 사이버 범죄 그룹은 AI를 이용해 자격 증명 탈취, 원격 세션 설정, 탐지 회피 등 정교한 공격을 실행하고 있는 것이 포착됐다.

일례로 채티 스파이더는 콜백 피싱(callback phishing)을 데이터 탈취·금전 협박 캠페인의 초기 침투 수단으로 계속 활용했다. 콜백 피싱은 공격자가 '곧 결제될 요금'이나 '미납된 청구서'와 관련된 유인 이메일을 먼저 보내, 사용자가 직접 전화 통화를 시도하도록 유도하는 방식이다. 이들은 주로 법률 및 보험 업계를 표적으로 삼았으며, 최대 800만달러(약 117억원)의 몸값을 요구한 사례도 있었다.

특히, 이란 연계 해커 집단은 AI를 적극 활용 중이다. 보고서는 지난해 이란 연계 공격 세력이 AI를 활용한 취약점 연구, 악용 개발, 국내 네트워크 패치를 활발히 진행했으며 이는 정부 주도의 AI 전략과 궤를 같이한다고 설명했다.

중국 연계 사이버 스파이 활동은 전년 대비 150% 증가했으며, 금융·미디어·제조업 등 주요 산업 분야에서는 최대 300% 급증한 것으로 나타났다. 크라우드스트라이크는 지난해에만 7개의 신규 중국 연계 해킹 그룹을 추가로 찾아냈다고 설명했다.

북한의 위협도 꾸준히 증가하고 있다. 북한 연계 해킹 그룹인 페이머스 천리마는 지난해 304건의 사이버 공격을 주도했으며, 이 중 40%가 '내부자 위협'에 해당하는 것으로 드러났다. 이들은 정상적인 직원으로 위장해 기업 시스템에 접근한 뒤 악의적인 활동을 수행하는 교묘한 방식으로 보안 체계를 우회했다.

악성코드 없는 해킹 증가…평균 사이버 공격 시간은 '48분'

'브레이크 아웃 타임' 즉, 공격 전개 속도도 기록적으로 빨라졌다. 

공격자가 시스템에 처음 침입한 뒤 가장 먼저 노리는 것은 단순한 진입에 그치지 않고, 더 민감한 데이터로 침투 범위를 넓히는 것이다. 이를 '브레이크 아웃'이라고 하며 초기 침입 지점에서 조직 내부의 고가치 자산으로 이동하기까지 걸리는 시간을 말한다. 지난해 이 시간의 평균 시간은 48분으로, 전년의 62분 대비 22% 단축됐다. 일부 공격은 단 51초만에 실행됐는데, 이는 보안 담당자가 탐지하거나 대응할 여유조차 주지 않는 속도다.

아울러 이제 해킹 공격의 79%가 악성코드를 사용하지 않고도 시작된다. 해커들은 유출된 아이디·비밀번호를 사용해 정상 사용자처럼 시스템에 접근하고, 보안 탐지를 피해 내부를 자유롭게 이동한다. 이와 함께 해킹용 접근 권한을 거래하는 광고도 전년보다 50% 늘었다.

클라우드 환경도 이제 예외는 아니다. 신규 클라우드 침입 유형은 전년 대비 26% 증가했다. 주요 침투 경로는 계정 악용으로, 전체 클라우드 보안 사고의 35%를 차지했다. 특히 파악된 취약점 중 52%가 초기 접근과 직결돼, 패치 전 보안 취약성 관리의 중요성이 더욱 부각되고 있다. 

애덤 마이어스 크라우드스트라이크 공격 대응 작전 총괄은 "기존 보안 체계만으로 방어하기 어렵다"면서 "신원, 클라우드, 엔드포인트 중심으로 연계 분석하는 실시간 위협 인텔리전스와 헌팅이 결합된 통합 플랫폼이 보안 사각지대를 제거하는 핵심 해결책"이라고 강조했다.


☞공감언론 뉴시스 chewoo@newsis.com, nowone@newsis.com 

Copyright © 뉴시스. 무단전재 및 재배포 금지.