크라우드스트라이크가 1일 ‘2025 위협 헌팅 보고서’를 발표했다. 이번 보고서는 260개 이상의 공격 세력을 추적한 결과를 담고 있으며 생성형 AI가 사이버 위협 수단으로 급격히 무기화되고 있음을 보여준다.
보고서에 따르면 북한 연계 공격 세력 ‘페이머스 천리마(FAMOUS CHOLLIMA)’는 생성형 AI를 활용해 내부자 공격을 자동화하고 지난해에만 320개 이상의 기업에 침투했다. 이는 전년 대비 220% 증가한 수치로, AI 기반 가짜 이력서 작성, 딥페이크 인터뷰, 허위 신분을 통한 과제 수행 등으로 위협 범위를 넓혔다.
러시아 연계 세력 ‘엠버 베어(EMBER BEAR)’는 친러시아 메시지 확산을, 이란 연계 세력 ‘차밍 키튼(CHARMING KITTEN)’은 LLM 기반 피싱 공격을 수행했으며 중국 연계 세력은 클라우드 침해 활동을 주도했다. 클라우드 공격은 전년 대비 136% 증가했고 이 중 40%가 중국 연계 세력의 활동으로 나타났다. ‘제네시스 판다(GENESIS PANDA)’와 ‘머키 판다(MURKY PANDA)’는 클라우드 설정 오류와 신뢰된 권한을 악용해 탐지를 회피한 사례가 보고됐다.
AI 에이전트 개발 도구는 차세대 공격 표적으로 지목됐다. 크라우드스트라이크는 공격자들이 도구 취약점을 악용해 인증을 회피하고 지속성을 확보하며 자격 증명을 탈취한 뒤 악성코드와 랜섬웨어를 배포한 사례를 확인했다. 자율형 워크플로우와 머신 아이덴티티가 공격의 주요 표적이 되고 있다는 분석이다.
사이버 범죄 조직은 생성형 AI를 악용해 스크립트 작성과 기술적 문제 해결을 자동화하고 있으며 ‘펑크락커(Funklocker)’와 ‘스파크캣(SparkCat)’은 AI 기반 악성코드 초기 사례로 지목됐다. 한편 ‘스캐터드 스파이더(SCATTERED SPIDER)’는 보이스피싱과 서비스 센터 사칭으로 MFA를 우회하고 클라우드 환경으로 이동했으며 초기 침투부터 랜섬웨어 배포까지 24시간도 걸리지 않은 사례가 보고됐다.
애덤 마이어스 크라우드스트라이크 공격 대응 작전 총괄은 “공격자들은 생성형 AI를 악용해 사회공학 공격에 속도를 내고 있으며 기업이 도입한 AI 시스템을 주요 표적으로 삼는다”며 “이들은 SaaS 플랫폼, 클라우드 콘솔, 고급 권한 계정을 노리는 동일한 방식으로 AI 에이전트를 공략한다. 향후 사이버 보안의 핵심은 기업이 자사 AI를 어떻게 보호하느냐에 달렸다”고 말했다.
헬로티 구서경 기자 |
