TSMC도 털렸다…AI로 문턱 낮아진 사이버해킹

1분기 랜섬웨어 공격 20% 증가
국내 자동차 부품사도 공격받아
설계도면·금융자료 등 외부 탈취
해커들 '돈 되는 기업' 집중 공략
연말·연초 집중 패턴도 사라져
생성형 AI 보급 '보안 대란' 불러

세계 1위 반도체 파운드리(반도체 수탁생산) 기업인 TSMC가 최근 크리덴셜(비밀번호와 인증서) 공격을 받은 것으로 나타났다. 국내 한 자동차 부품사도 랜섬웨어 공격으로 설계 도면 등 핵심 자산과 비밀번호가 외부로 빠져나갔다. 생성형 인공지능(AI) 기술 발달로 사이버 범죄의 진입 장벽이 낮아지고 있다는 분석이 나온다.

7일 민간 랜섬웨어 대응 협의체 KARA(Korea Anti Ransomware Alliance)가 발표한 ‘랜섬웨어 동향 보고서’에 따르면 올 1분기 총 1122건의 랜섬웨어 공격이 발견됐다. 이는 지난해 1분기(933건)와 4분기(914건) 대비 각각 20.3%, 23% 증가한 수치다. 통상 기업 해킹은 정산 업무가 몰리는 연말과 연초에 빈번하게 발생한다. 정해진 날짜까지 대금을 지급해야 하는 탓에 기업들이 협상력을 발휘하기 어려운 시기여서다.

하지만 최근엔 시도 때도 없이 사이버 공격이 이뤄지는 모습이다. 클라우드 통합보안관제(SIEM) 전문기업 로그프레소가 발행한 ‘2024년 5월 CTI 월간 리포트’에 따르면 최근 TSMC 도메인을 사용하는 여러 웹사이트와 TSMC 직원 및 협력사 임직원으로 추정되는 크리덴셜이 다수 유출됐다. TSMC는 지난해 6월에도 랜섬웨어 공격을 받아 홍역을 치렀다. 당시 글로벌 해킹 조직인 ‘록빗’이 TSMC를 해킹 성공 명단에 등록하면서 이런 사실이 전해졌다. 국내 한 자동차 부품사도 최근 랜섬웨어 공격을 받았다. 현재 이 회사의 재무제표를 비롯한 인사 파일, 금융 관련 자료가 다크웹에서 거래되고 있다.

랜섬웨어는 ‘몸값(ransom)’과 ‘소프트웨어(ware)’의 합성어로 컴퓨터 데이터에 암호를 걸어 사용 불능 상태로 만든 뒤 현금이나 암호화폐를 뜯어내는 수법을 말한다. 기존 악성코드가 데이터를 유출하거나 파손하는 ‘강도’ 개념이었다면 랜섬웨어는 데이터를 ‘인질’로 잡고 금전을 요구는 방식이다.

미국 블록체인 데이터 분석기업 체이널리스는 ‘2024년 가상자산 범죄 보고서: 랜섬웨어’를 통해 해커들이 ‘집중과 선택’ 전략을 쓰기 시작했다고 지적했다. 무작위로 랜섬웨어를 퍼트리는 종전 방식에서 벗어나 ‘돈이 되는 기업’을 집중적으로 공략하고 있다는 설명이다.

랜섬웨어 제작이 쉬워진 것도 기업들을 곤란하게 하는 배경으로 꼽힌다. 글로벌 사이버 보안 기업 프루프포인트의 ‘연례 CISO의 목소리 보고서’에 따르면 글로벌 기업 최고보안책임자(CISO)의 75%가 새로운 보안 위협으로 생성형 AI를 꼽았다. 전문 해커가 아니라도 AI로 손쉽게 랜섬웨어를 개발할 수 있게 됐다는 설명이다.

일본에선 지난달 28일 생성형 AI로 랜섬웨어를 만든 20대 남성이 경찰에 체포됐다. 정보기술(IT) 관련 경력이 전무한 이 남성은 복수의 생성형 AI를 이용해 랜섬웨어 ‘소스코드’를 입수했다. 해당 소스 코드를 활용해 랜섬웨어를 제작한 것도 AI였다.

해커들의 공격이 계속 늘고 있지만 이를 막아야 할 보안 인력 양성은 지지부진하다. ‘2023 국가정보보호백서’에 따르면 2022년 기준 기관별 정보보호 전담 인력의 평균 업무 경력은 1~2년 33.78%, 3~4년 31.08%, 4년 이상 28.38%로 조사됐다. 보안 업계에 숙련 인력이 많지 않다는 얘기다.

KARA 관계자는 “보안 인력을 늘리고, 수준을 높이는 일이 시급하다”며 “랜섬웨어 특화 모의 해킹 테스트, 악성 메일 대응 훈련 등도 피해를 줄이는 데 도움이 된다”고 말했다.

강경주 기자 qurasoha@hankyung.com