영국 소매업체인 코퍼러티브 그룹(Co-op), 마크스앤스펜서(M&S), 해러즈가 지난 며칠 동안 대규모 사이버 공격을 받았습니다. 해커에 대한 자세한 정보는 알려지지 않았지만, 공격의 근접성을 고려하면 세 가지 공격 모두에 책임이 있는 단일 위협 행위자그리고 이미 M&S 공격과 연루된 것으로 알려진 스캐터드 스파이더(Scattered Spider) 해킹 그룹도 있을 가능성이 있습니다. 소매업체, 은행, 그리고 그 외 모든 사람들은 어떻게 대응해야 할까요?
소매 해커 전술
영국 소매 체인 부츠(Boots)가 최근 IT 장애로 큰 타격을 입은 가운데, 모리슨(Morrisons)은 작년 사이버 공격으로 매출에 큰 타격을 입었고, 커리스(Currys)와 JD 스포츠(JD Sports) 역시 고객 데이터를 침해하는 공격을 받았습니다. 소매업체들은 분명히 취약한 상태이며, 막스앤스펜서(Marks & Spencer)는 비접촉식 결제 시스템 도입 실패로 5억 파운드(약 6,000억 원)의 손실을 입었고, 코옵(Co-op)은 매장 진열대를 텅 비운 상황에서 이러한 공격의 심각성은 아무리 강조해도 지나치지 않습니다.
무슨 일이 벌어지고 있는 걸까요? 가짜 학위로 취업한 북한 출신 원격 근무자들이 IT 부서에 침투했을 가능성이 있을까요? 우리는 이 악당들이 이미 상당히 교묘하다는 것을 알고 있습니다. 인사부는 네 차례의 화상 면접을 실시하고, 지원자가 지원서에 있는 사진과 일치하는지 확인했으며(인공지능을 활용하여 보정), 추가 신원 조회를 진행했습니다. 모든 결과는 (도용된 미국 신분증을 사용했기 때문에) 아무런 문제가 없었습니다. 결국 그는 유령 직원을 고용하게 되었다. 그는 즉시 악성코드를 다운로드하기 시작했습니다. 또 다른 회사는 결국 북한 근로자들을 위한 원격 아웃소싱 일자리를 확보하기 위한 조직적인 계획에 자신들이 속았다는 사실을 알게 되었습니다. 3분의 1 이상 그녀의 엔지니어링 팀 전체가 북한 출신이었습니다!
북한 파이썬 프로그래머가 아니었다면, 외국 세력의 요원들이 지금까지 알려지지 않은 양자 컴퓨터에 접근하여 비밀 코드를 해독하고 개인 키를 복제하여 소매업체 네트워크에 침투하여 네트워크 보안을 무력화했을까요? 내부자들이 원치 않는 약관 변경에 대한 보복으로 호스트를 공격하여 마비시키려 했을까요? 주요 공급업체가 제공한 IT 시스템이 경쟁 소매업체를 대신하여 활동하는 위장된 방해 공작원에 의해 해킹당했을까요?
아니요, 물론 아닙니다. 가짜 직원이나 해커가 코드를 해독하려는 것이 아니었습니다. 어디서나 늘 발생하는 동일한 공격이었습니다. 해커들은 헬프 데스크에 전화를 걸어 비밀번호를 잃어버린 직원인 척했습니다. 이러한 공격과 관련하여 영국 국가 사이버 보안 센터(NCSC)는 기업들이 IT 헬프 데스크 운영 방식을 재평가해야 한다고 권고했습니다.직원의 승인을 받아"특히 IT 네트워크의 상위 계층에 접근할 수 있는 고위 직원의 경우 비밀번호를 재설정하기 전에요. 당연한 얘기죠. 늘 그렇듯 똑같은 소셜 엔지니어링 해킹이거든요.
꼭 이럴 필요는 없습니다. 금융 부문에서 생체 인식의 가장 일반적인 용도 중 하나는 계좌 복구입니다. 은행에서 고객 확인(KYC) 인증을 통해 계좌 접근 권한을 복구하는 것처럼, 소매업체가 직원 확인(KYE) 인증을 복구하는 데 동일한 기술을 사용할 수 없는 이유는 알 수 없습니다.
(예를 들어 Keyless와 Anonybit 같은 회사가 무엇을 하고 있는지 살펴보세요.)
M&S는 최근 연례 보고서에서 하이브리드 작업으로의 전환으로 인해 사이버 공격에 더 취약해졌다고 경고했으며, 저는 협동조합이 공격에 대응한 부분이 다음과 같다는 점에 관심을 갖고 있습니다. 직원들에게 카메라를 켜두라고 지시하세요. 원격 근무 회의 중에 그들은 "모든 참석자를 확인"하고 있었습니다. 70,000만 명의 직원에게 발송된 내부 이메일에는 팀즈 통화를 녹음하거나 필사하지 말라고 요청하는 내용도 포함되어 있었습니다. 이는 해커들이 내부 회의에 참석하여 소셜 엔지니어링 공격을 개선하기 위한 정보를 얻고, 향후 해킹에 활용할 내부 시스템 관련 정보를 얻기 위해 필사본을 보관하고 있다는 것을 암시했습니다.
새로운 범죄, 새로운 범죄자.
우리 모두 범죄의 본질이 변하고 있으며 사이버 범죄자들이 똑똑하다는 것을 알고 있습니다. 여러 가지 이유로 좋은 정책이기는 하지만, 카메라를 계속 켜두는 것이 큰 변화를 가져올지는 확신할 수 없습니다. AI는 이미 동료들을 속일 수 있는 사람들의 영상을 제작할 수 있으며, 수년간 악의적인 목적으로 사용되어 왔습니다. 아럽(Arup)은 사기꾼들에게 25만 달러의 손실을 입혔습니다. 사기꾼들은 AI를 사용하여 회사 CFO를 사칭하고 부하 직원에게 여러 명이 참여하는 그룹 화상 통화 중에 돈을 이체하도록 지시했습니다. 홍콩 경찰에 따르면, "부하직원이 본 사람들은 모두 가짜였다는 것이 드러났습니다.".
이러한 딥페이크는 은행과 소매업뿐만 아니라 만연합니다. 런던의 한 미술관 주인은 가짜 피어스 브로스넌과 몇 달 동안 전시회를 협상한 후 30,000만 파운드(약 14천만 원)의 손실을 입었습니다. 또 다른 영국 사례에서는 한 여성이 시민권 시험에 합격하기 위해 남녀 최소 XNUMX명을 대신하여 가발과 의상을 착용한 혐의로 체포되었습니다. 이 과정에서 발각을 피하기 위해 "가짜 신분증"을 사용했습니다. 한 에어비앤비 주인은 도용된 신분증을 소지한 여성에게 부동산을 임대하고 위조 운전면허증으로 참고 보고서를 제출했습니다. 이후 그녀는 가구를 훔쳐 파티 장소로 재임대했습니다.
AI 해커, AI 방어 수단? 아니요.
마이클 바 연방준비제도이사회(FRB) 이사는 최근 AI 기반 딥페이크 공격이 증가하는 상황에서 은행들이 "불에는 불로 맞서야 한다"며 AI에 더 많이 투자해야 한다고 주장했습니다. 저는 동의하지 않습니다. 얼굴 인식, 음성 분석, 행동 생체 인식 기술이 이러한 가짜 공격이 개선될 때까지 AI 기반 딥페이크 공격을 탐지할 수 있을지도 모릅니다. AI에 대한 상당한 투자가 AI 기반 사기의 홍수로부터 은행을 보호하는 데 도움이 될 수 있다는 것은 사실이지만, 사기꾼들이 수법을 개선하고 있는 상황에서 이는 일시적인 안도감일 수 있습니다. 하지만 왜 이런 방식을 택해야 할까요? AI로 공격자를 따돌리려 하기보다는 위조가 불가능한 검증된 기술인 디지털 서명을 사용하는 것이 어떨까요?
AI 대 AI는 끝없는 경쟁입니다. 대신, 우리는 은행, 소매업체, 미디어 기업 등 모든 기업이 딥페이크로 무장한 현대 해커를 막기 위해 검증된 보안 인프라를 활용하도록 요구해야 합니다. 나는 이전에 썼다당신은 만들 수 있습니다 가짜 영상 브래드 피트에게는 완벽하게 설득력 있는 디지털 서명이지만, 브래드 피트에게 완벽하게 설득력 있는 디지털 서명을 만들 수는 없습니다. 직원들에게 청구 조정 담당 부차장(북동부 지역)을 보고 있는지, 아니면 로봇을 보고 있는지 추측하게 하는 대신, 비밀번호 대신 2단계 인증을 제공하고, 카메라 활성화 승인 대신 강력한 생체 인식 인증을 사용한 검증 가능한 자격 증명을 제공하고, 암호화 및 디지털 서명된 사본을 제공하고, 암호화된 키의 변조 방지 저장(예: 휴대폰)을 제공해야 합니다. *참고: 디지털 서명은 데이터 신뢰성과 무결성을 강력하게 보장하므로 위조 방지에 중요한 도구입니다.*
댓글이 닫혔습니다.