전체메뉴

[애플경제 이윤순 기자] 사이버공격을 경고하는 숱한 보고서나 인텔리전스 인사이트가 쏟아지고 있다. 그러나 범죄자들은 AI를 사용해 이런 보고서들을 분석하고, 전략을 새로 짜기도 한다. 특히 이를 바탕으로 ‘바이브 코드’를 악용, 악성 코드를 만들기도 한다.

최근 통신사나 인터넷 서점 등을 대상으로 일련의 굵직한 보안사고가 끊이지 않고 있는 국내도 사정은 마찬가지다. 경각심을 높이기 위해 보안업체, 심지어 보안 당국의 분석 보고서 등도 이런 위험에 노출되어있는 셈이다.

위협 보고서, “유익보단 해를 끼칠 수도”

하지만 새로운 연구에 따르면 이러한 위협 인텔리전스 보고서는 유익보다는 해를 끼칠 수 있는 것으로 나타났다. 글로벌 사이버 보안업체인 ‘트렌드 마이크로’(Trend Micro)의 연구에 따르면 해커들은 이제 AI를 사용하여 이러한 사이버위협에 관한 보고서를 분석하고 전략을 개선하고 있다.

이에 대해 트렌드마이크로는 “앞으로 사이버 위협 인텔리전스 보고서를 작성할 때 보안 기술에 대해 지나치게 세부적으로 언급하는 것을 피해야 한다”고 조언했다. 즉 보고서나 분석 내용에 “처음부터 끝까지 정확히 이렇게 구현되었다”는 식으로 자세히 수법을 공개하거나, 보안 기술을 언급할 필요가 없다는 것이다.

특히 해커들이 구사하는 악성코드에 관한 언급을 유의해야 한다는 지적이다. 보고서를 통해 해커들이 “이러저러한 방법으로 악성코드를 생성했다”거나 지나칠 정도로 수준이 낮은 코드까지 파고들 필요는 없다는 것이다.

그럴수록 해커들은 그런 악성코드에 관한 정보를 통해 다시 AI로 유사한 악성코드를 원활하게 재구성할 수 있다.

트렌드마이크로는 “그럼에도 불구하고, 흔히 ‘사이버위협 인텔리전스 보고서’를 발표, 사람들에게 어떤 일이 일어나고 있는지 알리면서 주의를 환기시키곤 한다”고 지적했다. 문제는 게시글이나 보고서에 얼마나 세부적인 정보를 넣느냐가 중요하다.

보고서 등 참조, 악성코드 변종 ‘리버스 엔지니어링’

특히 이번 연구는 대규모 언어 모델(LLM)이 기술 블로그를 ‘부분 악성 코드’로 변환할 수 있다는 것을 보여준다. 다시 말해 사이버 공격자는 이를 통해 공격 속도를 높이거나, 악성코드 변종을 ‘리버스 엔지니어링’할 수 있다. 그 뿐만 아니라, 다른 조직의 TTP를 모방, 공격의 속성이나 정체를 파악하지 못하도록 할 수도 있다.

특히 날이 갈수록 사이버 범죄자들은 바이브 코딩을 악용, 치명적인 사이버공격을 퍼붓곤 한다. 사이버 범죄자들이 바이브 코딩을 사용하고 있다는 것은 이제 공공연한 사실이 되고 있다. 그들 만의 ‘범죄 포럼’ 토론을 통해 바이브 코딩된 것처럼 보이는 기존 악성코드도 확인되고 있다.

또한 연구기관이나 보안전문가들이 사이버위협 분석 결과를 복제, 그들이 설명한 내용을 바탕으로 악성코드를 다시 구현할 생각도 할 수 있다.

더욱 심각한 것은 이러한 AI도구가 수많은 사이버 범죄자들에게 진입 장벽을 낮춰준다는 사실이다. 또한 해킹에 숙달될 공격자들의 프로세스를 가속화하는 데 도움이 된다는 점이다.

‘마이크로트렌드’는 “AI를 사용하면 (초보 해커들도) 현재 숙련도에서 다음 단계로 더 빠르게 도약할 수 있다”면서 “따라서 완전 초보자이고 코드에 대한 지식이 거의 없더라도 상당히 효과가 있는 악성코드를 코딩할 수 있다.”고 했다.

더욱이 이미 숙련된 해커들에겐 심층적인 분석을 곁들인 사이버보고서는 매우 막강한 무기가 된다. (보고서에 나온) 해당 기술을 더 빨리 습득하고, (보고서에서 예로 든) 예시를 바탕으로 실제 작동하는 코드를 구축하는 데 큰 도움을 받을 수 있다는 우려다. 그래서 “이제 모든 사이버위협에 관한 보고서에선 (해킹의) 기술적인 세부 사항을 시시콜콜히 밝힐 필요가 없다”는게 마이크로트렌드의 주장이다.