내년 '생성형 AI 활용' 범죄 가능성 ↑…'정치 이슈 악용' 위험

(서울=뉴스1) 양새롬 기자 = 올해 보안프로그램 취약점과 소프트웨어(SW) 개발자를 대상으로 한 사이버 공격이 특히 많이 발생한 것으로 나타났다.

내년에는 생성형 인공지능(AI)을 악용한 사이버 범죄와 국내외 정치·사회적 이슈를 악용하는 사이버 위협 가능성이 증가할 전망이다.

과학기술정보통신부와 한국인터넷진흥원(KISA)은 사이버 위협 인텔리전스 네트워크와 함께 이런 내용이 담긴 '2023년 사이버 보안 위협 분석' 및 '2024년 사이버 보안 위협 전망'을 17일 발표했다.

올해는 △보안프로그램 취약점과 SW 개발자 대상 공급망 공격 확대 △개인정보를 노려 진화하는 메신저 사칭 공격과 피해 재확산 △랜섬웨어 공격과 산업 기밀정보 공개를 빌미로 하는 금전 협박 등의 사이버 보안 위협이 화두였다.

내년 사이버 위협 요소로는 △피해 자체를 모르게 하는 은밀하고 지속적인 SW 공급망 공격 △생성형 AI를 악용한 사이버 범죄 가능성 증가 △운영기술(OT)·산업제어시스템(ICS) 및 사물인터넷(IoT) 환경의 보안 위협 증가 △정치·사회적 이슈를 악용하는 사이버 위협 고조 등이 제시됐다.

우선 해킹 그룹이 유명한 오픈소스를 사칭하거나 변조된 코드를 배포해 개발자 대상 공격을 확대해 나갈 것으로 봤다. 개발자 시스템을 장악하면 개발 제품에 악의적인 코드를 쉽게 포함시킬 수 있기 때문이다.

SW 공급망을 통한 공격 시도도 계속 증가할 것이라고 내다봤다. 과기정통부는 "공급망 공격 대응을 위해 SW 구성 명세서(SBOM)와 함께 제조업체, 프로그램 소유자 등에게 제품과 기술의 출처, 보안 위협과 관련된 정보를 제공하는 HW 구성 명세서(HBOM)의 필요성이 높아질 것"이라고 설명했다.

또 생성형 AI의 경우, 사용자가 전문적인 지식이 없더라도 손쉽게 악성코드 제작뿐 아니라 취약점 확인, 사회 공학적 공격, 음성 위변조 등 다양한 사이버 공격에 악용될 수 있는 위험성을 내포하고 있다.

더 나아가 범죄 대상과 범죄 방법을 제공하는 서비스가 다크웹 등 해킹 포럼에 소개된다면 누구나 쉽게 사이버 범죄에 가담할 수 있다는 우려도 나온다. 이에 따라 생성형 AI를 악용하는 사이버 범죄에 적극적으로 대응할 수 있는 관련 보안기술 개발 필요성이 높아질 전망이다.

아울러 2024년은 국내외에 대규모 정치적 행사가 예정돼 있어, 이를 악용하는 공격이 예상된다. 과기정통부는 "그 피해는 온라인에서만 국한되는 것이 아니라 사회 전반에 사이버 테러가 될 수 있다"며 "민관이 더 긴밀히 협력해 사이버 보안 체계를 상시 점검하고 강화해야 한다"고 강조했다.

한편 과기정통부와 KISA는 보안역량이 취약한 기업들을 위해 홈페이지, 시스템 등의 보안 취약점 점검, 실전형 모의침투 훈련 지원뿐만 아니라, 국민들을 대상으로 모바일기기·PC의 자가 보안점검 서비스를 제공 중이다.

내년 초에는 'SW 공급망 보안 가이드라인'도 제공해 기업의 정보보호 역량 강화를 지원할 계획이다

flyhighrom@news1.kr