Meta의 2023년 1분기 보안 보고서: 사람들과 기업 보호

META, 사이버 위협 대응 강화… 생성형 AI 악용한 악성코드·국가 배후 해킹 조직 적발 Meta Platforms(META)가 분기별 무결성 보고서를 통해 사이버 위협 대응 노력을 강화하고 있다고 밝혔습니다. 특히 최근 급증하는 생성형 AI 기술을 악용한 악성코드 캠페인과 국가 배후의 사이버 스파이 활동 및 은밀한 영향력 작전 등을 효과적으로 차단하고 있다고 강조했습니다. Meta의 최고 정보 보안 책임자(CISO)는 취임 첫해 동안 무결성, 보안, 지원 및 운영 팀을 통합하여 시너지를 창출하는 데 집중했다고 설명했습니다. 이러한 노력은 수년간 지속되어 왔으며, 외부 전문가와의 협력 및 업계 전반의 위협에 맞서기 위한 다른 기업들과의 협력을 통해 진전을 공유하는 데 중점을 두었습니다. Meta는 10년 전 버그 바운티 프로그램을 시작으로, 10년 전 정부 데이터 요청에 대한 투명성 보고서를 최초 발행했으며, 5년 전부터는 은밀한 영향력 작전 중단 사례를 공유하고 커뮤니티 표준 시행 보고서를 발행하는 등 지속적인 투명성 강화 노력을 이어오고 있습니다. 이러한 경험을 통해 질적, 양적 통찰력을 공유하는 것이 무결성 작업에 중요하다는 점을 배웠으며, 동종 업계의 다른 기업들도 신뢰 및 안전 보고를 확대하는 데 동참하는 것을 고무적으로 보고 있다고 밝혔습니다. 최근 Meta의 보안 팀은 전 세계 수백 개의 위협 행위자들을 추적하고 조치하고 있으며, 특히 악성코드 캠페인에 주목하고 있습니다. 최신 연구에 따르면, 악성코드 운영자들은 스패머와 마찬가지로 최신 트렌드에 민감하게 반응하며, 사람들의 관심을 끌기 위해 뜨거운 이슈와 인기 있는 주제를 활용합니다. 최근에는 생성형 AI 기술이 사람들의 상상력과 흥미를 사로잡으면서, 이를 악용한 악성코드 캠페인이 기승을 부리고 있습니다. 지난 3월 한 달 동안 Meta의 보안 분석가들은 ChatGPT와 유사한 도구를 사칭하여 인터넷 전반의 계정을 침해하려는 약 10개의 악성코드 계열을 발견했습니다. 예를 들어, 위협 행위자들은 공식 웹 스토어에서 ChatGPT 관련 도구를 제공한다고 주장하는 악성 브라우저 확장 프로그램을 제작했습니다. 일부 악성 확장 프로그램은 악성코드와 함께 작동하는 ChatGPT 기능도 포함하고 있었는데, 이는 스토어와 사용자들의 의심을 피하기 위한 전략으로 보입니다. Meta는 이러한 악성 URL 1,000개 이상이 자사 앱에서 공유되는 것을 탐지하고 차단했으며, 악성코드가 호스팅된 파일 공유 서비스의 업계 동료들에게 보고하여 해당 서비스들도 적절한 조치를 취할 수 있도록 했습니다. 이러한 현상은 생성형 AI 분야에만 국한되지 않습니다. 업계 전반에서 과거 암호화폐 열풍 당시 암호화폐 사기가 기승을 부렸던 것과 유사한 패턴이 나타나고 있습니다. 생성형 AI 분야는 빠르게 발전하고 있으며, 악당들은 이를 인지하고 있으므로 모든 사용자는 경계를 늦추지 않아야 합니다. 또한, Meta와 업계의 노력으로 인해 위협 행위자들이 탐지를 회피하고 지속성을 확보하기 위해 전술을 빠르게 진화시키고 있다는 점도 확인되었습니다. 한 가지 방법은 단일 서비스에서의 집행을 방지하기 위해 가능한 한 많은 플랫폼으로 확산하는 것입니다. 예를 들어, 악성코드 계열은 Meta와 LinkedIn과 같은 서비스, Chrome, Edge, Brave, Firefox와 같은 브라우저, 링크 단축 서비스, Dropbox 및 Mega와 같은 파일 호스팅 서비스 등을 활용하고 있습니다. 탐지될 경우, 링크의 최종 목적지를 숨기는 데 도움이 되는 더 작은 서비스들을 포함하여 더 많은 서비스로 혼합하여 사용합니다. 또 다른 예로, ChatGPT 앱으로 위장했던 일부 악성코드 계열은 탐지에 대응하여 Google의 Bard나 TikTok 마케팅 지원과 같은 다른 인기 있는 주제로 미끼를 전환했습니다. 이러한 변화는 위협 행위자들이 단일 서비스가 전체 운영에 대한 제한적인 가시성만 갖도록 하려는 시도로 추정됩니다. 악당들이 사일로화된 방식으로 작동하는 것에 의존하여 인터넷 전반에 걸쳐 광범위하게 사람들을 표적으로 삼을 때, 업계는 협력하여 사람들을 보호해야 합니다. Meta는 위협 연구를 통해 악의적인 운영을 방해하고, 단일 플랫폼을 거의 타겟으로 하지 않는 위협에 대한 업계 방어를 강화하는 등 보안 작업을 확장할 수 있도록 설계했습니다. 이러한 연구에서 얻은 통찰력은 사람들과 비즈니스를 보호하기 위한 지속적인 제품 개발을 주도하는 데 도움이 됩니다. 앞으로도 Meta는 이러한 악의적인 캠페인이 어떻게 작동하는지 지속적으로 강조하고, 위협 지표를 업계 동료들과 공유하며, 새로운 전술에 대응하기 위한 새로운 보호 기능을 출시할 예정입니다. 예를 들어, 악성코드 피해를 입은 비즈니스를 위한 새로운 지원 흐름을 출시할 예정입니다. Meta는 또한 제1분기 적대적 위협 보고서(Q1 Adversarial Threat report)를 통해 다양한 보안 위반으로 조치한 9개의 적대적 네트워크에 대한 조사 결과를 공유했습니다. 이 중 6개 네트워크는 미국, 베네수엘라, 이란, 중국, 조지아, 부르키나파소, 토고에서 시작된 조직적인 비정상 행동(CIB)에 관여했으며, 주로 자국 외부의 사람들을 표적으로 삼았습니다. Meta는 이러한 네트워크들이 실제와 같은 청중을 구축하기 전에 대부분을 제거했습니다. 거의 모든 네트워크는 페이스북, 트위터, 텔레그램, 유튜브, 미디엄, 틱톡, 블로그스팟, 레딧, 워드프레스, Freelancer[.]com, 해킹 포럼 및 자체 웹사이트를 포함한 인터넷 전반에 걸쳐 가상의 뉴스 매체, 해커 그룹, NGO 등을 운영했습니다. 이러한 작전의 절반은 중국의 IT 회사, 미국의 마케팅 회사, 중앙아프리카 공화국의 정치 마케팅 컨설팅 회사 등 민간 기업과 연계되어 있었습니다. 또한, Meta는 남아시아에서 세 건의 사이버 스파이 작전을 중단했습니다. 여기에는 파키스탄의 국가 연계 행위자에게 귀속된 고급 지속 위협(APT) 그룹, 보안 업계에서 Patchwork APT로 알려진 인도의 위협 행위자, 남아시아에서 Bahamut APT로 알려진 위협 그룹이 포함됩니다. 이들 APT 그룹은 모두 소셜 엔지니어링에 크게 의존하여 사람들이 악성 링크를 클릭하거나, 악성코드를 다운로드하거나, 인터넷 전반에 걸쳐 개인 정보를 공유하도록 속였습니다. 소셜 엔지니어링에 대한 이러한 투자는 위협 행위자들이 악성코드 측면에 많은 투자를 할 필요가 없게 만들었습니다. 실제로 이들 작전 중 최소 두 건에서는 악성 기능이 감소한 앱을 발견했는데, 이는 공식 앱 스토어에 게시될 수 있도록 하기 위한 것으로 보입니다. 보안 커뮤니티가 이러한 악의적인 노력을 지속적으로 방해함에 따라, 이들 APT 그룹은 새로운 인프라를 구축하고, 전술을 변경하며, 운영을 숨기고 다양화하는 데 더 많은 투자를 해야 했으며, 이는 작전을 약화시켰을 가능성이 높습니다.