생성형 AI로 만든 악성코드 등장…보안 위협 가속화

HP의 위협 연구팀은 2024년 2분기에 생성형 AI(GenAI)를 이용해 작성된 것으로 추정되는 악성코드를 발견했다. AsyncRAT을 유포하는 VBScript와 JavaScript 코드가 그 대상이다. 코드의 구조, 주석, 함수명과 변수 선택 등이 GenAI 사용의 강력한 증거로 나타났다. 이는 GenAI가 사이버 공격을 가속화하고 범죄자들의 진입 장벽을 낮추고 있음을 보여준다.

연구팀은 VBScript와 JavaScript를 분석한 결과, 코드가 난독화되지 않았고 오히려 각 줄마다 기능을 설명하는 주석이 포함되어 있었다고 밝혔다. 일반적으로 악성코드 제작자들은 코드 분석을 어렵게 하기 위해 이런 주석을 남기지 않는다. 이러한 특징들을 종합해 볼 때, 공격자가 GenAI를 사용해 이 스크립트를 개발했을 가능성이 매우 높다고 연구팀은 판단했다. 이는 사이버 보안 업계에 새로운 도전 과제를 제시하고 있다.

ChromeLoader는 크로미움 기반 웹 브라우저에 확장 프로그램으로 설치되어 사용자의 브라우징 세션을 모니터링하고 제어할 수 있는 악성코드다. 2024년 2분기에 ChromeLoader 캠페인의 규모가 커지고 더욱 정교해진 것으로 나타났다.

공격자들은 PDF 변환기 같은 생산성 도구를 제공하는 웹사이트로 사용자를 유도하는 악성 광고를 활용했다. 이 응용 프로그램들은 MSI 파일에 악성 코드를 숨기고 있었으며, 유효한 코드 서명 인증서를 사용해 Windows 보안 정책을 우회했다. 이로 인해 감염 가능성이 높아졌다.

감염 과정은 공격자가 도메인을 등록하고 이를 이용해 가짜 소프트웨어 설치 프로그램을 홍보하고 호스팅하는 것으로 시작된다. 잠재적 피해자들은 검색 엔진 광고를 통해 웹사이트로 유도되어 소프트웨어 설치 프로그램을 다운로드하게 된다. 이 웹사이트들은 세련되고 잘 디자인되어 있어 사용자가 가짜라는 것을 알아채기 어렵다. 이러한 정교한 위장 전략은 ChromeLoader의 감염률을 크게 높이는 요인이 되고 있다.

공격자들은 탐지를 피하기 위해 항상 새로운 감염 방법을 모색하고 있다. 2024년 2분기에 HP 위협 연구팀은 스케일러블 벡터 그래픽(SVG)을 통해 악성코드를 유포하는 흥미로운 캠페인을 발견했다.

그래픽 디자인과 웹에서 널리 사용되는 SVG 포맷은 XML 기반으로 스크립팅을 포함한 다양한 기능을 지원한다. 공격자는 이 포맷의 스크립팅 기능을 악용해 이미지 안에 악성 JavaScript를 삽입했고, 이는 결국 피해자의 엔드포인트를 감염시키려는 여러 정보 탈취 악성코드로 이어졌다.

SVG 이미지를 웹 브라우저에서 열면 삽입된 JavaScript 코드가 실행된다. Base64로 인코딩된 ZIP 아카이브가 디코딩되어 사용자에게 다운로드를 제안한다. 이 아카이브에는 URL 파일이 포함되어 있으며, 실행 시 원격 웹 서버에 호스팅된 SMB 파일 공유를 로드하는 파일 탐색기 창이 열린다.

이러한 일련의 과정을 통해 여러 악성코드 제품군이 엔드포인트에 설치된다. 여기에는 Venom RAT, XWorm, Remcos, AsyncRAT 등이 포함된다. 이 방식은 일반적인 악성코드 탐지 시스템을 우회할 수 있어 특히 위험하다.

HP Wolf Security는 이러한 새로운 위협에 대응하기 위해 종합적인 접근 방식을 권장한다. 먼저, HP Wolf Security Controller에서 위협 인텔리전스 서비스와 위협 전달 기능을 활성화하는 것이 중요하다. 이를 통해 MITRE ATT&CK 주석, 전문가의 분류 및 분석 혜택을 받을 수 있다.

또한, 새로운 대시보드와 보고서 템플릿을 받기 위해 HP Wolf Security Controller를 최신 상태로 유지해야 한다. 연구팀이 추가한 위협 주석 규칙을 적용하기 위해 HP Wolf Security 엔드포인트 소프트웨어를 정기적으로 업데이트하는 것도 필수적이다.

HP 위협 연구팀이 정기적으로 게시하는 위협 지표(IOC)와 도구를 활용하여 위협에 대비하는 것도 중요한 전략이다. 이러한 종합적인 접근 방식은 진화하는 위협 환경에서 기업의 보안 태세를 강화하는 데 큰 도움이 될 것이다. 특히 생성형 AI를 활용한 새로운 유형의 공격에 대비하기 위해서는 이러한 다층적인 보안 전략이 필수적이다.

이러한 보안 조치들은 단순히 기술적인 대응을 넘어서, 조직 전체의 보안 인식 제고와 지속적인 교육이 병행되어야 한다. 임직원들이 ChromeLoader와 같은 정교한 위장 전략을 인지하고, SVG 파일과 같은 일반적인 파일 형식을 통한 공격 가능성을 이해하는 것이 중요하다.

또한, 보안 팀은 생성형 AI 기술의 발전을 지속적으로 모니터링하고, 이를 활용한 새로운 공격 기법에 대비해야 한다. AI 기반의 보안 솔루션 도입을 고려하고, 보안 전문가들의 AI 리터러시를 향상시키는 것도 중요한 과제가 될 것이다.

결론적으로, 2024년 2분기의 위협 동향은 사이버 보안 환경이 더욱 복잡해지고 있음을 보여준다. 생성형 AI의 등장으로 인한 새로운 위협, ChromeLoader의 정교한 위장 전략, SVG 파일을 이용한 독특한 공격 방식 등은 기업들이 더욱 민첩하고 포괄적인 보안 전략을 수립해야 함을 시사한다. HP Wolf Security의 권장사항을 기반으로 한 다층적 보안 접근법은 이러한 진화하는 위협 환경에서 중요한 가이드라인이 될 것이다.

기사에 인용된 리포트 원문은 링크에서 확인할 수 있다.

기사는 클로드 3.5 Sonnet과 챗GPT-4o를 활용해 작성되었습니다. 

관련 콘텐츠 더보기