 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
RaaS 호황을 이끈 주역 중 하나는 인공지능(AI)이다. 방어자가 AI 기술을 활용해 보안 기능을 고도화하고 있는 것처럼, 공격자 또한 AI를 악용해 랜섬웨어 위협을 정교화하기 시작했다. 최근에는 노코드(프로그래밍 언어나 코딩 지식 없이 모델·애플리케이션·워크플로우를 구현하는 것) 방식으로 RaaS 사업을 고도화한 정황이 포착되며, 랜섬웨어 공격이 점차 진화했다는 보고가 이어지고 있다.
경종을 울린 대표적인 기업은 앤트로픽이다. 앤트로픽은 지난달 위협인텔리전스 보고서(Threat Intelligence Report)를 통해, 자사 대형언어모델(LLM) '클로드'가 RaaS 공격에 악용되고 있다고 밝혔다. 공격자는 클로드 기반 AI 서비스를 활용해 노코드로 악성코드를 만든 뒤, 랜섬웨어 서비스로 이를 판매한 것으로 나타났다.
이러한 악성 행위 배후에는 영국 기반 해커(추적명 GTG-5004)가 있었다. 이 해커는 올해 1월부터 다크웹 포럼에서 활동하며 대칭키 암호 알고리즘 'ChaCha20'는 물론, 엔드포인트탐지및대응(EDR) 회피, 윈도 구조 악용 등 고급 기능을 탑재한 랜섬웨어를 만들었다. 해커는 관련 랜섬웨어 제품을 400~1200달러(약 55~167만원)에 판매하며 수익을 올린 것으로 나타났다.
보고서는 "해커는 기술적으로 미숙했지만, AI 도움으로 복잡한 기능을 구현할 수 있었다"며 "단순히 또 하나의 랜섬웨어 변종을 만들었다는 수준을 넘어, AI가 전통적인 기술 장벽을 허문 사례"라고 평가했다. '클로드'라는 AI 기반에 의존한 점도 주목했다. 보고서는 "가장 두드러진 점은 해커가 클로드에 전적으로 의존했다는 사실"이라며 "해커 혼자였다면 윈도 내부 구조를 악용할 기능을 만들어내지 못했겠지만, AI 도움으로 완성도 높은 악성코드를 만들어냈다"고 부연했다.
 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
보고서는 "이번 사건은 AI가 사이버 범죄 진입 장벽을 없애고, 범죄 생태계를 민주화하고 있다는 점을 보여준다"며 "기존에는 암호화, 운영체제 내부 구조, 보안 탐지 회피 기술을 구현하기 위해 전문성이 필요했지만 이제는 그렇지 않다"고 강조했다. 앤트로픽은 해커 계정을 차단했고, 자사 플랫폼 내 악성코드 생성 및 변조 행위를 탐지하는 신규 모니터링 체계를 구축했다고 밝혔다.
한편 보안업계는 랜섬웨어 시장이 '대규모 조직'보다 '소규모 조직'으로 흩어지는 흐름을 보이고 있어, 관련 공격이 더욱 늘어날 가능성이 커졌다고 보고 있다. 글로벌 위협인텔리전스 그룹 체크포인트리서치는 "올해 2분기 기준 , 랜섬웨어 생태계는 더 이상 한두 개의 주요 공격조직이 주도하는 것이 아닌 파편화되기 시작했다"고 평가했다.
소규모 조직이 AI 기술을 악용한 RaaS 제품을 개발하거나 구매하는 흐름도 두드러지고 있어, 주의가 필요하다는 의견도 제기된다. 체크포인트리서치는 "록빗을 비롯한 주요 RaaS 조직의 서비스가 중단되면서 많은 제휴 업체들이 독립적으로 운영을 시작하거나 새로운 파트너십을 모집하고 있다"며 "규모가 작고 수명이 짧아 추적이 까다로운 랜섬웨어 업체들이 점점 늘어날 것"이라고 전망했다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
