보안사고는 '일상'입니다. 이번 주 국내외에서 발생한 주요 사이버 위협과 사건·사고를 소개합니다. 최신 소식이 궁금하다면, '위클리 쓰렛(Weekly Threat)'을 확인해 보세요. <편집자주>

[디지털데일리 김보민기자] SK텔레콤 해킹 원인으로 꼽힌 백도어 악성코드 'BPF도어'가 다시 수면 위로 떠올랐다. KT는 지난해 BPF도어에 자사 서버가 대량 감염된 사실을 파악하고도 당국에 신고하지 않은 것으로 파악됐다. 이에 따라 KT가 해킹 사고를 은폐했다는 지적이 이어지고 있다.

정부는 이번 정황에 대해 "엄중히 보고 있다"는 입장이다. 최근 정보보호 종합대책을 통해 보안사고를 반복한 기업에 징벌적 과징금을 부과하겠다고 예고한 만큼 처벌 수위에 대한 고민도 깊어지고 있다. 이번 사태를 계기로 국내 기업과 기관에 보안 인식을 제고하고 투자를 유인해야 해, 인센티브 제도에 필요한 세부 내용도 강화할 전망이다.

별개로 보안업계에서는 전 세계적으로 인공지능(AI)을 악용한 보안 위협이 거세지고 있어 대비가 필요하다는 경고가 나왔다. 멀웨어에 대규모언어모델(LLM)을 사용한 공격 정황도 발견돼 추후 위협 난도가 높아질 가능성도 점쳐지고 있다.

◆ 뚫리고, 숨기고, 다음은 '털리고'?…KT 보안사고 일파만파

KT 해킹사고를 조사 중인 민관합동조사단은 6일 정부서울청사에서 중간 조사 결과 브리핑을 개최했다. 조사에 따르면, KT는 지난해 백도어 악성코드 BPF도어가 자사 서버를 감염시킨 사실을 파악했지만 당국에 신고를 하지 않을 것으로 나타났다.

BPF도어는 올 초 SK텔레콤 해킹 사고에도 주요 원인으로 꼽힌 악성코드다. 리눅스 커널 내 가상머신에 BPF필터를 삽입하는 방식으로 네트워크 방화벽이나 탐지 시스템을 우회하는 것이 특징이다. 은닉성이 강하기 때문에 공격 사실을 식별하기가 어렵다는 특징도 있다. 보안기업 트렌드마이크로에 따르면 한국뿐만 아니라 홍콩, 미얀마, 말레이시아, 이집트 등 주요 국가에서도 BPF도어 피해가 이어지고 있다.

조사단은 은폐 정황에 대해 "엄중히 보고 있다"며 "사실관계를 밝히고 관계기관에 조치를 요청할 계획"이라고 밝혔다. KT 감염 서버에는 성명, 전화번호, 이메일 주소, 단말기식별번호(IMEI) 등 가입자 개인정보가 포함된 것으로 알려져 추후 개인정보 유출에 대한 처벌이 이뤄질 수 있다는 관측도 제기된다. 무단 소액결제에 이어 악성코드 사고까지 이어지면서 'KT표 보안 체계'에 대한 질타도 이어질 전망이다.

◆ 보안투자 이끌 당근도 필요…"예방체계 갖춘 기업에 인센티브"

거세진 위협과 달리 국내 기업과 기관의 보안 대책이 미흡했다는 지적이 나오자, 정부는 '채찍과 당근'을 통해 사전예방체계를 구축하겠다고 밝혔다. 지난달 정보보호 종합대책을 통해 징벌적 과징금을 검토하겠다고 예고했고, 보안 투자를 이끌 인센티브 제도도 고민 중에 있다.

개인정보보호위원회는 사전예방체계를 중심으로 정책 방향을 전환하고 인공지능(AI) 시대를 대비해 예방 노력을 기울인 기업에 인센티브를 주겠다고 재확인했다. 송경희 개인정보위 위원장은 5일 브리핑을 통해 "기업이 미리 투자해 안전한 개인정보보호 체계를 만들 수 있도록 강력한 인센티브를 고민 중"이라며 "그럼에도 중대 사고가 발생한다면 그만큼 징벌적 과징금을 내도록 할 것"이라고 말했다.

구체적인 인센티브 안은 이야기하지 않았다. 송 위원장은 "제도 개선 태스크포스(TF)를 만들었고 여러 전문가와 논의를 진행하는 상황"이라며 "일회성에 그치는 것이 아닌 지속적인 지원과 적절한 처벌을 복합적으로 설계할 것"이라고 설명했다. 업계 안팎에서는 세제 지원 혜택 등이 필요하다는 의견이 제기된다.

◆ "멀웨어가 AI 호출까지…'저스트 인 타임' 공격 등장"

구글위협인텔리전스그룹(GTIG)는 멀웨어가 인공지능(AI)을 호출하는 새 공격을 포착했다고 보고했다. GTIG 'AI 위협 보고서'에 따르면, 중국·북한·러시아·이란에 기반한 공격자들은 멀웨어 실행부터 엔지니어링 프롬프트 등 위협 전 단계를 수행하기 위해 AI를 활용하고 있다.

조사 결과 '멀웨어에 '저스트 인 타임(Just in Time)' AI를 최초 활용한 사실이 드러났다. GTIG는 일부 멀웨어 유형이 실행 중 LLM을 사용하는 것을 최초로 확인했다고 밝혔다. 이러한 도구는 악성 스크립트를 동적으로 생성하고, 자체 코드를 난독화해 탐지를 회피할 수 있었다. 멀웨어 내 악의적인 기능을 미리 하드코딩(hard-coding)하는 대신, AI 모델을 활용해 요청에 따라 이를 생성할 수도 있었다.

GTIG는 "초기 단계이지만 더욱 자율적이고 유연한 멀웨어로 발전할 가능성을 시사한다"고 말했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -