최근 조사에 따르면 데이터 침해 사고의 평균 비용은 한 건당 445만 달러에 달한다. 특히 클라우드 환경에서 발생하는 침해 사고는 지난 1년 동안 75%가 증가했으며, 성공적인 공격을 수행하는 데 걸리는 시간이 적게는 2분 7초에 불과한다.
그렇다면 왜 조직은 사이버 위협에 더 취약해졌을까?
1. 클라우드 서비스 의존도가 크게 높아졌기 때문에
기업의 94%가 클라우드 서비스를 사용하고 있어, 구성 오류, 부적절한 접근 제어가 빈번하게 발생하고 공격 가능한 표면이 이전보다 넓어졌다.
2. 팬데믹 이후 급격히 늘어난 원격 근무 환경으로 취약점이 덩달아 증가한 것이다.
오펜시브 보안 분야에서 활용하는 인공지능(AI)
AI를 활용해 대규모의 정교한 공격을 더 빠르게 수행할 수 있으며, AI로 실제와 구분하기 어려운 합성 미디어를 생성해 사기와 정보 왜곡을 일으키는 사회 공학 공격이 이루어지기도 한다. 반면, 방어적인 측면에서도 AI를 활용해 실시간으로 위협을 탐지하고 사전에 공격을 차단하며 보안 태세를 강화할 수 있다.
AI 활용 사례(1) — 클라우드 보안
클라우드 환경에서 보안 침해 사고의 65%는 잘못된 구성에서 비롯된다고 한다. AI는 이러한 구성 오류를 자동으로 탐지하고, 악용할 수 있는 공격 지점을 찾아내고 있다.
또한, AI는 크리덴셜 스터핑(유출된 개인정보를 웹사이트에 무작위로 대입하는)과 같은 무차별 대입 공격(브루트포스)을 가속화해 공격의 효율성을 높이고 있다.
Palo Alto Networks Unit 42 Threat Intelligence의 연구진들은 AWS 환경에서 IAM 신뢰 정책의 잘못된 설정으로 인해 공격자가 전체 클라우드 환경을 제어할 수 있게 되는 취약점을 발견했다. 이에 IAM 역할 설정의 중요성을 강조했다.
IAM 이란?
IAM( Identity and Access Management) AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스.
IAM을 사용하면 사용자가 액세스할 수 있는 AWS 리소스를 제어하는 권한을 관리할 수 있다.
권한 상승 및 관리 제어 오류로 인해 특정 IAM 역할이 잘못 설정되어 수백 명의 사용자가 접근 가능하게 되었고, 이를 통해 공격자는 관리자 계정을 탈취하여 클라우드 환경의 전체 권한을 장악했다.
따라서 연구진들은 클라우드 인프라의 보안을 강화하기 위해 권한을 제한하고 IAM 취약점을 적극적으로 해결해야 한다고 권장한다.
[출처] Palo Alto Networks. “Unit 42 Cloud Threat Report.” 2020. https://start.paloaltonetworks.com/unit-42-cloud-threats-securing-iam
AI 활용 사례(2) — 취약점 탐지 및 관리
LLM을 활용한 코드 분석의 가장 큰 변화는 바로 ‘맥락 인식’이다. LLM을 활용해 소스 코드를 분석하면서 구성 요소 간 관계를 파악하고, 잠재적 취약점을 자동으로 찾아낼 수 있다. 기존의 정적 분석 도구는 미리 정의한 특정 취약점 패턴을 코드에서 매칭하는 방식으로 동작했지만, LLM은 코드나 인프라 환경의 전후 맥락을 종합적으로 이해해 취약점으로 이어질 수 있는 로직을 추론해 낼 수 있다.
최신 LLM은 전문가가 작성한 시나리오의 약 45%를 커버하는 것으로 나타났다. 이는 전문가의 작업을 보조하고 가속화하는 데 충분한 수준이다. AI는 코드 분석과 취약점 탐지를 보다 빠르고 깊이 있게 진행할 수 있도록 보안의 새로운 지평을 열어가고 있다.
AI 활용 사례(3) — 외부 위협 탐지
AI를 활용하면 광대한 공격 표면에서 취약점을 자동으로 탐지할 수 있다. 인터넷상에는 공격자에게 매력적인 공격 표면인 수많은 자산이 노출되어 있다. 한 연구에서는 1억 8천만 개 이상의 URL을 스캔하여 18,000개 이상의 API 키가 노출된 것을 발견했으며, 이 중 41%가 매우 치명적인 수준이었다. 이처럼 광대한 인터넷 공간을 사람이 일일이 살펴 취약점을 찾아내는 것은 불가능에 가깝다. 그러나 AI는 이러한 과정을 자동화할 수 있다.
실제로 티오리에서 개발한 통합 보안 태세 관리 플랫폼 Xint는 Offensive Security AI Engine을 탑재해 기존의 URL 및 인터넷 스캐너를 확장하고, 다양한 보안 취약점을 자동으로 탐지하는 기능을 제공한다. Xint의 AI는 고객사의 서비스 및 제품에서 치명적인 취약점을 발견해 내고 있다.
Escape의 연구팀은 2024년 초 1백만 개의 인기 도메인을 분석한 결과, 18,000개 이상의 API 시크릿 토큰이 노출된 것을 발견했다. 이 중 41%는 매우 치명적인 수준으로 평가되었으며, Stripe, AWS, OpenAI, Twitch, GitHub/GitLab 등의 키와 토큰이 포함되어 있었다. 특히, 2천만 달러에 달하는 Stripe 토큰의 취약성도 확인됐다.
이 노출된 API 시크릿은 금융 손실, 민감 데이터 노출, 그리고 서비스 마비와 같은 심각한 보안 위험을 초래할 수 있다. 연구팀은 웹 크롤러를 사용해 실제 애플리케이션 실행 환경에서 API 시크릿이 어떻게 노출되는지 분석했다.
또한, 비슷한 사례로 2023년에는 Microsoft 소비자 키와 OpenSea의 서드파티 공급업체에서 API 키 노출로 인해 심각한 보안 사고가 발생했으며, 이러한 문제는 API 개발 및 운영 전반에 영향을 미친다고 지적했다.
[출처]https://escape.tech/blog/how-we-discovered-over-18-000-api-secret-tokens/
[출처]https://blog.theori.io/ai-for-cybersecurity-e299e27faa89
'swuforce' 카테고리의 다른 글
[써니타스] 18번 문제풀이 (0) | 2024.11.19 |
---|---|
[H4CKING GAME] code (0) | 2024.11.18 |
[디지털포렌식개론]8장 4-6절 (0) | 2024.11.13 |
[H4CKING GAME] SEASON 1 : line feed (0) | 2024.11.12 |
[The Science Times]200억년 걸려야 해킹 가능하다? (3) | 2024.11.12 |