최근 생성 AI 사용해 생성된 다형성 멀웨어 ‘Black Mamba’ 기승
무해한 실행 파일 이용해 Open AI에 액세스, 감염된 사용자의 키 스트로크 훔쳐
AI 기술 활용해 정보 공유하고, 방어능력 개선과 방어 기술 육성에 집중해야
[보안뉴스 김경애 기자] 지난해 말 챗GPT 등장 이후 챗GPT나 대규모 언어 모델(LLM)을 사용한 사이버 공격의 시도가 여러 번 포착됐다. 센티넬원(SentinelOne)은 “가장 최근의 공격시도는 ‘Black Mamba’라는 생성 AI를 사용해 생성된 다형성 멀웨어”라고 지목하며 “‘Black Mamba’는 Proof of Concept(PoC/개념증명) 멀웨어로 무해한 실행 파일을 이용해 런타임 시 높은 지명도를 가진 AI(Open AI)에 액세스하고 감염된 사용자의 키 스트로크를 훔치는 것을 목표로 하는 다형성 악성코드”라고 분석했다.
![[보안뉴스 / 7.4.] 센티넬원, “AI 악용한 ‘Black Mamba’ 공격, AI 기반 다층 접근법으로 방어해야”](http://www.boannews.com/media/upFiles2/2023/07/396381497_4464.jpg)
[이미지=gettyimagesbank]
1. AI 악용해 생성한 멀웨어 ‘Black Mamba’로 공격
‘Black Mamba’는 파이썬(Python) exec() 함수를 사용해 무해한 프로그램의 AI에서 동적으로 생성된 코드를 실행한다. 폴리모픽 악성코드는 악성행위를 위해 메모리에 남아 있다. ‘Black Mamba’ 제작자는 이러한 수법이 기존 EDR 솔루션에서 감지할 수 없을 것으로 생각하고 공격을 감행한다.
이뿐만이 아니다. 공격자는 페이스트빈(Pastebin), 드롭박스(Dropbox), 마이크로소프트 애저(Microsoft Azure), AWS 및 기타 클라우드 인프라와 같은 무해한 채널에서 네트워크 서비스 중 악의적인 트래픽을 숨기는 등의 방식으로 악용하고 있다.
이처럼 은닉, 회피를 통해 감지되지 않도록 하는 공격 수법에서 AI를 활용하는 건 탐지 회피를 목적으로 한다. 첫째, 비정상적인 명령제어(C2) 서버가 아닌 ‘무해한’ 원격 소스에서 페이로드를 얻어 ‘Black Mamba’ 트래픽이 악의적으로 간주되지 않도록 한다. 둘째, 매번 고유의 악성코드 페이로드를 전달할 수 있는 생성 AI를 활용해 보안 솔루션을 속여서 반환된 코드가 악의적인 것으로 인식되지 않도록 한다. 또한, 폴리모픽 시스템(Polymorphic System)은 코드나 데이터를 디스크에 기록하지 않아 메모리에 남은 폴리모픽 악성코드는 동작을 모니터링하는 보안 조치를 피해 악성코드를 구축할 수 있어 공격자에게는 매력적이다.
2. AI 어떻게 활용하느냐에 따라 효과성 달라져
그러나 이러한 전술은 보안업계 역시 잘 알고 있다. 특히, EDR, XDR 제공 기업은 보호된 시스템에서 이러한 동작에 필요한 가시성을 갖추고 있어 악의적인 코드를 가상 메모리로 제한하면 엔드포인트 보안 솔루션을 피할 수 없다는 게 센티넬원의 설명이다.
센티넬원은 “AI 기술은 악이나 선이 아니다. 인공지능의 위험 여부는 우리가 인공지능을 어떻게 활용하는지에 깊이 관여한다”며 “Black Mamba와 같이 공격자는 악용할 수 있는 모든 도구, 기술 및 절차를 찾는다. 따라서 공격자를 억제하고 방지하기 위해 노력해야 한다”고 당부했다.
AI 시스템 및 챗GPT와 같은 LLM의 효과는 데이터세트의 품질과 다양성에 따라 달라진다. 그리고 모델 훈련에 사용되는 데이터세트는 기능과 제한을 결정한다. 방어자는 자신의 데이터세트를 작성해 경쟁 조건을 평준화할 수 있다. 그리고 이것은 전문화된 위협 감지 및 대응 모델로 활용할 수 있다.
3. AI 한계, 다층 접근법으로 방어 능력 개선하고 방어 기술 육성해야
AI는 무엇이든 할 수 있는 마법의 기술이 아니다. 특히, 사이버 보안에서 AI가 할 수 있는 일에는 한계가 있다. AI는 판단을 내릴 수 없다. 또한, 데이터 집합이 다양하지 않으면 판단에 오류가 발생할 수 있다.
센티넬원은 “AI를 다른 보안 기술과 인간의 지능과 결합한 다층 접근법으로 활용해야 한다. 인터넷은 사이버 보안을 공급업체, 고객, 연구자, 법 집행기관 등 다양한 이해관계자 간의 협력을 필요로 하는 집합적 과제로 만들었다”며 “정보공유와 협력을 기반으로 AI 악용 공격에 대한 방어 시스템을 구축해야 한다. 경쟁의식에서 벗어난 협력, 악성코드에 관한 전문지식 결합, 공격자의 사고방식 이해 등을 바탕으로 끊임없이 변화하는 위협에 대처할 수 있는 AI 활용 제품을 만들고, 방어능력 개선과 방어기술 육성에 집중해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 7.4.] 센티넬원, “AI 악용한 ‘Black Mamba’ 공격, AI 기반 다층 접근법으로 방어해야”](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
