유출된 비밀번호로 내부자인 듯 잠입…IBM, “신원정보 탈취 71% 증가”

IBM '2024 엑스포스 위협 인텔리전스 인덱스 보고서' 표지/IBM 제공

컴퓨터 시스템을 해킹하는 것이 아닌, 다크웹에서 찾은 아이디와 비밀번호 등을 이용해 ‘로그인’한 뒤 정보를 빼내는 사이버 공격이 증가하고 있는 것으로 나타났다.

IBM은 ‘2024 엑스포스 위협 인텔리전스 인덱스 보고서’를 통해 지난해 자격 증명을 이용한 로그인 공격 건수가 전년 대비 71% 증가했다고 밝혔다. 이번 보고서는 IBM 엑스포스 위협 인텔리전스, 사고 대응, 엑스포스 레드팀, IBM 관리형 보안 서비스 등 IBM의 여러 소스와 레드햇 인사이트 및 인테저에서 데이터를 수집하고 분석한 내용을 담았다.

각종 불법 정보들이 모이는 다크웹에는 수십억 개의 유출된 개인정보가 거래되고 있다. 사이버 공격자들이 사용자들이 실제 사용하고 있는 유효한 계정을 얻어 악용할 수 있는 것이다. 지난해에는 이메일, 소셜미디어, 메시징 앱의 인증정보, 은행 정보, 암호화폐 지갑 데이터 등 개인 식별 정보를 탈취하기 위해 설계한 인포스틸링 멀웨어가 266% 증가한 것으로 나타났다. 사이버 공격자들이 개인 신원을 확보하기 위한 작업에 점점 더 많은 투자를 하고 있는 것이다.

문제는 기업들이 개인 식별 정보를 통해 기업 내부 시스템에 침투하는 사이버 공격자들을 탐지하기 어렵다는 것이다. 엑스포스에 따르면 유효한 계정을 이용한 침해 사고는 일반적인 침해 사고보다 보안팀 대응 조치가 두 배 더 복잡했다. 또한 탈취되거나 유출된 인증정보로 인한 침해 사고를 탐지하고 복구하는 데 약 11개월이 소요되는 것으로도 조사됐다. 침해 사고 중 대응 주기가 가장 긴 것이다.

무엇보다 생성형 인공지능(AI)이 해킹 등에 활용되면서 사이버 공격의 질도 높아질 것으로 전망된다. 이미 지난해 다크웹 포럼에서 AI와 GPT에 관한 80만 개 이상의 게시물이 관찰되면서, 사이버 공격자들이 AI 등 첨단 기술에 관심이 많다는 점이 확인되기도 했다.

한국 IBM 컨설팅 사이버보안 서비스 사업 총괄 및 최고운영책임자(COO) 배수진 전무는 “보안 기본 원칙은 AI 만큼 많은 관심을 받고 있지는 않지만, 아시아태평양 지역의 가장 큰 보안 과제는 패치되지 않은 알려진 취약점”이라면서 “특히 신원은 계속해서 악용되고 있으며, 공격자들이 전술을 최적화하기 위해 AI와 같은 신무기를 사용하게 되면서 이 문제는 더욱 악화될 것이므로 기업들의 선제적인 대응 준비가 중요하다”고 했다.