데니스 빌뇌브는 사이버 보안 분야에서 15년 동안 일해왔지만, 요즘 그가 마주하는 위협은 그 어느 때보다 개인적으로 느껴진다.
그의 직장인 기술 회사 킨드릴의 직원들은 사기꾼에게 로그인 자격 증명을 넘기도록 유도하기 위해 CEO 마틴 슈로터의 가짜 동영상을 받았다.
빌뇌브는 또한 자신의 친구가 작은 엔지니어링 회사를 운영하는데, 그의 아내가 그가 곤경에 처해 있다고 거짓으로 전달하는 음성 메일을 남긴 경우를 목격했다.
“나는 ‘오 마이 갓’이라고 생각했다. 이건 정말 가까운 친구에게 일어난 일이라서 충격적이었다”고 빌뇌브는 회상했다. 그는 킨드릴 캐나다의 사이버 보안 및 복원력 실무 리더다.
이 공격들은 최근 몇 년 동안 더욱 저렴하고 접근 가능하며 발전한 인공지능 기반 소프트웨어 덕분에 가능해졌다.
하지만 사이버 보안 위협에도 불구하고 빌뇌브는 기술 산업의 많은 사람들과 마찬가지로 AI를 전적으로 나쁘게만 보지 않으려 한다.
사이버 공격자들과의 싸움에서 AI는 해를 끼치는 것만큼이나 도움이 될 수 있다고 그는 설명했다.
“AI는 양날의 검이다”라고 빌뇌브는 말했다.
AI가 발전함에 따라 전문가들은 기업의 방어를 뚫으려는 더 크고 혁신적인 방법이 항상 존재할 것이라고 느끼지만, 그 방어는 기술 덕분에 강화되고 있다고 덧붙였다.
“AI는 궁극적으로 방어자에게 공격자보다 훨씬 더 좋은 것이다”라고 사이버 보안 회사 포티넷 캐나다의 엔지니어링 지역 부사장인 피터 스메트니가 말했다.
그의 주장은 일부 기업이 직면하는 공격의 수와 이를 처리하거나 막는 데 필요한 자원에 있다.
2023년 EY 캐나다의 60개 캐나다 조직을 대상으로 한 연구에 따르면, 80%가 지난 1년 동안 최소 25건의 사이버 보안 사건을 경험했다고 한다. 인디고 북스 & 뮤직, 런던 드럭스, 자이언트 타이거는 모두 고프로파일 사건의 피해자였다.
모든 사이버 공격이 성공하는 것은 아니지만, 스메트니는 많은 기업이 매일 수천 건의 시스템 침투 시도를 보고 있다고 말했다.
AI는 이를 처리하는 데 더 효율적이다.
“팀에 4~5명만 있을 경우, 그들이 수동으로 처리할 수 있는 경고의 수는 한정적이다. 하지만 AI는 그들이 집중해야 할 경고를 우선순위로 정해준다”고 스메트니는 말했다.
AI가 없으면 분석가는 각 공격이 인터넷 프로토콜 주소와 연결되어 있는지 수동으로 확인해야 한다. 이는 공격의 출처를 추적하는 데 도움이 되는 고유 식별자다.
분석가는 또한 해당 주소 뒤에 있는 사람이 회사에 이미 알려져 있는지, 공격의 범위는 어떤지를 조사해야 한다.
AI를 사용하면 분석가는 이제 간단한 언어로 소프트웨어에 쿼리를 요청하여 공격자와 그 IP 주소에 대한 모든 정보를 신속하게 수집하고 제시할 수 있다.
“AI는 정말 많은 시간을 절약해주고, 중요한 것에 집중할 수 있도록 방향을 제시해준다”고 스메트니는 말했다.
하지만 공격자들도 그들의 무기고에 같은 도구를 가지고 있다.
IBM의 글로벌 정보 기관 X-포스의 수석 설계자인 더스틴 헤이우드는 악의적인 의도를 가진 누구나 AI를 사용하여 여러 유출 데이터에서 정보를 수집하고 목표의 프로필을 조합할 수 있다고 말했다.
예를 들어, 데이터가 누군가가 장난감 가게나 월마트에서 아동 제품을 자주 구매한다고 알려주면, 공격자는 최근에 아이를 가졌다는 것을 알 수 있다.
때때로 공격자들은 ‘피그 부처링’이라는 관행을 사용하여 누락된 정보를 채운다.
“봇이 누군가와 대화하기 시작하고, 생성적 AI와 같은 것을 사용하여 관계를 구축하기 시작한다”고 헤이우드는 말했다. “그들은 그들을 신뢰하게 만든 다음 정보를 추출하기 시작한다.”
공격자가 재정 세부정보, 사회 보장 번호 또는 계정에 접근할 수 있는 충분한 개인 정보를 얻으면, 해당 데이터는 신용 카드에 잘못 신청하는 데 사용되거나 다른 범죄자에게 판매될 수 있다.
딥페이크를 만들 수 있는 충분한 자료가 있을 경우, 잠재적인 피해는 더욱 커진다. 빌뇌브의 친구가 아내에게 메시지를 남긴 예는 이러한 전술의 예다.
더 작은 목표를 위해 AI는 많은 작업을 수행하여 공격자가 고부가가치 피해자에게 집중할 수 있도록 해준다.
“봇 운영자가 한 번에 20명과 대화할 수 있다”고 헤이우드는 말했다. “예전에는 제3국의 사람들이 모바일 전화로 타이핑하는 농장이었다.”
그는 또한 사람들이 증강 현실 안경을 사용하여 누군가를 바라보는 즉시 그들의 개인 데이터가 다크 웹에서 판매되고 있는 정보를 즉시 불러오는 경우를 들었다.
공격자들은 AI 챗봇을 ‘탈옥’하여 사람들이 입력한 개인 정보를 추출하는 작업도 하고 있다.
공격의 진화는 그에게 AI가 “게임을 바꾸고 있다”고 확신하게 만들었다.
“90년대에는 웹사이트를 해킹하여 변조하는 것이 주로 십대, 대학생들이었다”고 그는 말했다. “최근에는 기업의 컴퓨터를 암호화하는 랜섬웨어로 전환되었다.”
이제 초점은 누군가의 신원을 탈취하는 것으로 바뀌었으며, 이는 AI가 더욱 촉진하고 있는 “정말 큰 비즈니스”라고 헤이우드는 말했다.
캐나다 반사기 센터는 올해 상반기 동안 15,941명의 사기 피해자를 기록했으며, 이 사건에서 2억 8,400만 달러가 손실되었다. 지난해에는 41,988명의 피해자와 5억 6,900만 달러가 손실되었다.
헤이우드, 스메트니, 빌뇌브는 공격자들과의 싸움이 헛되지 않다고 느끼며 기업들이 이를 진지하게 받아들이고 있다고 말했다.
그들의 고용주는 은행 및 주요 소매업체와 같은 기업을 위해 공격을 받을 경우의 상황을 시뮬레이션하는 연습을 진행하고 있으며, 직원들이 위협에 대응하고 소프트웨어 취약점을 찾아 수정하는 데 도움을 주고 있다.
헤이우드는 사이버 보안 위반이 기업에 평균 600만 달러의 비용을 초래하고 주가 하락, 판매 감소 및 고객과의 관계 파괴를 초래할 수 있기 때문에 기업들이 조치를 취하는 것은 어렵지 않다고 말했다.
그는 “공격을 막기 위해 할 수 있는 모든 것은 가치가 있다”고 덧붙였다. “신뢰는 인치 단위로 얻어지지만, 거의 즉시 잃는다.”
