AI 날개 단 러시아 초보 해커들, 55개국 FortiGate 600대 심각한 침해

1. 서론

최근 사이버 공격의 양상이 크게 달라지고 있다. 과거에는 전문적인 해킹 기술과 지식이 필요했지만, 이제 생성형 AI의 등장으로 기술력이 부족한 초보 해커들도 대규모 사이버 공격을 수행할 수 있게 되었다. 특히 기업과 기관의 네트워크 보안 장비를 표적으로 한 공격이 증가하고 있어 보안 전문가들의 우려가 커지고 있다.

2. 공격 상세 내용

2.1 공격 개요

아마존 위협 인텔리전스에 따르면, 이번 공격은 러시아어를 사용하는 해커에 의해 수행되었다. 해커들은 생성형 AI, 특히 DeepSeek과 Anthropic Claude 같은 AI 도구를 활용하여 사이버 공격을 자동화하고 효율화했다.

주요 특징:

• 대상: 전 세계 55개국의 600개 이상의 FortiGate 장비
• 공격수법: AI 기반 자동화 도구 활용
• 목적: 기업 내부 네트워크 침투 및 데이터 탈취

2.2 공격 과정

공격은 다음 단계로 진행되었다:

1. AI 도구 활용: DeepSeek과 Claude 같은 생성형 AI로 공격 코드 생성
2. 포트 스캔: 취약한 포티게이트 장비 탐색
3. 자격증명 탈취: 관리자 계정 정보 탈취
4. 네트워크 침입: 내부 AD(Active Directory) 장악
5. 데이터 유출: 중요 데이터 및 자격증명 탈취

2.3 피해 규모

이번 공격으로 영향을 받은 장비는 600대 이상으로 추정된다. 특히 다음과 같은 피해가 보고되었다:

• Active Directory 장악
• 자격증명 탈취
• Veeam Backup 서버 노출
• 1,400건 이상의 악성 이메일이 발송됨

공격에 사용된 악성 서버 주소(212.11.64.250)도 확인되었다.

3. 보안 전문가의 경고

보안 전문가들은 다음과 같은 점을 강조하고 있다:

1. 기본 보안 수칙 준수: 여전히 많은 기관들이 기본적인 보안 조치를 이행하지 않고 있다
2. MFA 필수화: 다단계 인증(MFA)은 필수적으로 적용해야 한다
3. 정기적인 취약점 검사: 시스템의 취약점을 정기적으로 점검하고 패치해야 한다
4. AI 기반 위협 대응: AI를 악용한 새로운 유형의 위협에 대한 대응 방안이 필요하다

4. 대응 방안

4.1 즉각적인 조치

다음 조치를 즉시 이행할 것을 권고한다:

• 포티게이트 펌웨어 업데이트: 최신 보안 패치 적용
• 자격증명 변경: 의심스러운 계정의 비밀번호 즉시 변경
• MFA 활성화: 모든 관리자 계정에 다단계 인증 적용
• 로그 검토: 최근 접속 로그 이상 여부 확인

4.2 지속적인 보안 강화

장기적인 보안 강화 방안:

1. 정기적인 보안 교육: 직원 대상 사이버 보안 교육 실시
2. 침입 탐지 시스템 운영: 실시간 위협 모니터링
3. 백업 검증: 중요 데이터 백업 상태 정기 확인
4. Incident Response Plan 수립: 보안 사고 대응 계획 사전 수립

5. 결론

이번 사건은 생성형 AI의 democratization으로 인해 사이버 공격의 진입 장벽이 크게 낮아졌음을 보여준다. 기업과 기관은 이러한 새로운 위협에 대응하기 위해 보안 전략을 지속적으로 업데이트하고, 기본적인 보안 수칙을 철저히 이행해야 한다.

생성형 AI의 발전은 계속될 것이며, 이를 악용한 공격도 더욱 정교해질 것으로 예상된다. 따라서 보안 담당자들은 항상 최신 위협 동향을 파악하고, 선제적인 대응 방안을 마련해 놓아야 한다.