 |
| (사진=연합) |
IT 기술이 빠르게 발전할수록 사이버 공격 역시 진화하고 있다. 특히, 사람처럼 생각하고 학습하는 ‘생성형 AI’가 산업 전반에 영향을 미치면서 이를 악용한 공격이 급증할 것으로 보인다.
특히, 내년에는 역대 최대 규모의 글로벌 선거 시즌이 도래할 예정이어서 이와 관련한 사이버 공격이 이뤄질 것으로 예상돼 주의가 요구된다. 소프트웨어(SW) 공급망과 모바일 기기, 사물인터넷(IoT)·운영기술(OT) 시스템 등을 노린 공격도 증가할 전망이다.
29일 보안업계에 따르면 2024년 주요 사이버 위협으로 △생성형 AI 활용한 사이버 공격 증가 △정치·사회적 이슈 악용하는 사이버 위협 고조 △보안프로그램 취약점 악용한 SW 공급망 공격 확대 △모바일 및 IoT·OT 시스템 타깃 보안 위협 증가 등이 꼽혔다.
가장 주목받는 부분은 ‘생성형 AI의 악용’이다. 생성형 AI ‘챗GPT’가 인기를 끌면서 전 세계 사람들의 관심이 급증했으며 기업들의 투자와 개발도 늘었다. 동시에 사이버 공격자 역시 생성형 AI 기술에 주목하는 계기가 됐다.
올해가 생성형 AI에 대해 탐색하고 습득한 해라면, 2024년은 습득한 기술을 실제 공격에 적용하고 활용하는 해가 될 것으로 보안업계는 전망했다.
과학기술정보통신부(과기부)도 이에 대해 경계하는 모습이다. 과기부는 “생성형 AI를 악용해 일반인들도 사이버 범죄를 시도할 가능성이 증가하고 다크웹 등에서 생성형 AI 기반의 사이버 범죄 도구도 더 많이 확산될 것”이라며 “이에 대응하기 위해 생성형 AI 악용 방지를 위한 기술 개발과 제도 마련 검토가 필요하다”고 밝혔다.
2024년에는 글로벌 질서에 상당한 영향을 미치는 미국을 포함한 70여개 국가에서 선거가 이뤄질 예정이다. 이로 인해 특정 그룹이나 후보자 지지를 위해 선거 과정 개입을 목적으로 하는 해킹 공격이 증가할 것으로 예상된다.
이스트시큐리티 관계자는 “우리나라도 내년에 제22대 국회의원 선거(총선)가 예정되어 있어 북한의 사이버 공격과 공작 활동의 위협이 증가할 것”이라며 “정치적·사회적 목적을 위해 자신과 노선을 달리하는 정부나 기업, 단체 등의 인터넷 웹사이트를 해킹하는 ‘핵티비즘’에 철저히 대비해야 할 것”이라고 조언했다.
올해에 이어 내년에도 보안프로그램 취약점(제로데이) 및 SW 공급망 공격이 확대될 것이란 전망도 나온다. 제로데이 공격은 대응책(패치)이 존재하지 않아 대규모 공격이 가능하며, SW 공급망은 하나의 취약점이 전체 공급망에 영향을 미칠 수 있고 신뢰를 기반으로 진행되므로 탐지 자체가 어렵다.
모바일 환경과 IoT·OT 시스템을 노린 보안 위협도 증가할 것으로 예상된다. 사이버 공격자들은 부고, 쓰레기 무단투기 등과 같은 새로운 스미싱 키워드를 지속적으로 발굴하고, 백신사 및 통신사들의 탐지를 우회하는 공격 방식의 다변화를 시도하고 있다.
IoT·OT 시스템은 생산성과 실용성이 최우선시되어 설계되므로 상대적으로 보안에 대한 고려가 많이 이뤄지지 않고, 취약점이 발견돼도 패치가 적용되는 경우가 매우 드물어 사이버 공격에 좋은 타깃이 된다고 보안업계는 지적했다.
이스트시큐리티 ESRC(시큐리티 대응센터) 관계자는 “내년에는 다양한 산업 분야의 공급망, OT 시스템 등을 타깃으로 한 해킹 공격이 증가할 것”이라며 “기술적인 대책뿐 아니라 관리적인 대책도 중요한 만큼 보안 담당자들은 기업의 특성과 운영 환경을 고려한 보안 정책을 마련해야 한다”고 말했다.
박준영 기자 pjy60@viva100.com
