최근, 미국 라스베이거스에서 사이버 보안 콘퍼런스인 블랙햇(Black Hat) 콘퍼런스가 개최됐다. 세계 각지의 사이버 보안 전문가가 한 자리에 모여 각자 발견한 사이버 보안 연구와 업계 및 대중이 인지하지 못한 취약점 등이 다수 공개됐다. 이번 콘퍼런스에서 사이버 보안 전문가가 특히 주목해야 할 사안으로 제시한 문제는 무엇일까? 해외 사이버 보안 매체 실리콘앵글이 전달한 내용을 기반으로 이번 콘퍼런스에서 보안 문제의 핵심으로 떠오른 사안을 살펴보자.
1. 모바일 기기 겨냥한 사이버 공격, 갈수록 심각해진다
사이버 공격 세력이 모바일 플랫폼의 취약점을 악용할 자원을 갖춘 상태에서 각종 공격을 개시한다. 전 세계 인구 60억 명이 스마트폰을 개통한 사실을 고려하면, 해커의 공격 대상이 될 잠재적인 피해자가 우려스러울 정도로 많다는 사실을 짐작할 수 있다.
또, 모바일 플랫폼을 겨냥한 사이버 공격도 끊임없이 등장한다. 모바일 플랫폼에서 발생한 사이버 공격은 주로 취약점이 널리 발견되기 전, 이를 악용해 심각한 피해를 일으키는 '제로데이' 공격이다.
사이버 보안 기업 코렐리엄 LLC(Corellium LLC)의 최고운영관리자인 매트 타이트(Matt Tait)는 이번 블랙햇 콘퍼런스 키노트 연설에서 모바일 기기의 제로데이 공격이 갈수록 심각해지는 상황이며, 그 피해 규모도 커진다고 경고했다. 이어, 그는 현재 보안 업계가 모바일 기기의 제로데이 공격 심각성을 제대로 인지하지 못했다고 지적했다.
구글 프로젝트 제로(Google Project Zero)의 수석 연구원인 나탈리 실바노비치(Natalie Silvanovich)도 모바일 플랫폼의 버그 심각성을 강조했다.
실바노비치는 최근, 모바일 메시지 버그 분석 과정에서 기기 사용자의 동의 없이 카메라나 오디오를 켤 수 있는 문제를 발견한 사실을 알렸다. 그는 그룹 페이스타임과 시그널, 페이스북 메신저, 지오챗 등에서 발견했으며, 모두 수정됐다.
이와 관련, 실바노비치는 "누군가의 카메라와 오디오를 실행할 수 있는 등 모바일 기기를 겨냥한 공격은 매우 우려스러운 수준"이라고 말했다.
2. 오픈소스의 취약한 보안, 사이버 공격에 악용될 수 있다
오픈소스는 누구나 참여하면서 중요한 소프트웨어 툴을 무료로 사용하도록 한다는 장점이 있지만, 완전한 보안 코드를 생성하지 않는다. 이 때문에 간혹 해커가 오픈소스 툴의 보안 수준이 높지 않다는 점을 악용할 수도 있다.
2017년에 발생한 미국 신용평가기관 에퀴팩스(Equifax)를 겨냥한 사이버 공격을 예시로 언급할 수 있다. 당시 패치 작업이 되지 않은 오픈소스 버전 소프트웨어 툴의 쉬약점 때문에 1억 4,700만 명의 개인 정보가 유출됐다.
지난해 12월, 자바스크립트 개발자가 코드 블락을 공유할 때 사용하는 코드 저장소인 NPM에 악성 소프트웨어 패키지가 등장한 사례도 있다.
내부 저장소 모니터링 기관 깃가디언(GitGuardian)은 2020년에만 공공 깃 저장소에 패스워드와 개인 식별 정보 200만 개가 저장된 사실을 발표하면서 오픈소스가 지닌 잠재적인 보안 위험을 경고했다.
3. DNS 서비스, 기업 네트워크 도청 위험 유발한다
사이버 보안 업계에 DNS의 취약점은 오래전부터 알려졌으나 최근, 일부 전문가가 간단한 실험으로 DNS의 문제를 발견했다.
글로벌 클라우드 보안 기업 위즈(Wiz) 소속 보안 연구원 시르 타마리(Shir Tamari)와 아미 루트왁(Ami Luttwak)은 DNS 서비스(DNSaaS) 제공 업체의 네임 서버가 동적 DNS 트래픽에서 사용자를 감시할 수 있다는 사실을 밝혀냈다. 또, 탈취된 서버를 이용하는 기업 1만 5,000곳의 DNS 트래픽을 도청할 수 있다는 사실도 입증했다.
루트왁은 "간단한 도메인 등록만으로 수천 개 기업과 수백만 개의 기기에 접근할 수 있었다. 그러나 더 자세히 조사한 결과, 연구팀이 도메인 등록으로 접근한 기관에 포춘지가 선정한 500대 기업에 이름을 올린 기업 다수를 포함한 여러 기업과 세계 각지의 정부 기관 100여 곳이 포함된 것을 확인했다"라고 말했다.
4. GPT-3의 텍스트 생성 능력, 거짓 정보 유포한다
블랙햇 콘퍼런스에서는 오픈AI(OpenAI)의 딥러닝 언어 모델인 GPT-3의 문제도 논의됐다. 이미 널리 알려진 바와 같이 GPT-3는 기계가 작성했다고 보기에는 매우 정교한 글쓰기 능력을 보유했다. 그러나 이 능력이 우리 사회에 오히려 독이 될 수 있다.
조지타운대학교 산하 보안·출현 기술 센터 소속 애널리스트 드류 론(Drew Lohn)과 미카 무서(Micah Musser)는 6개월 동안 GPT-3가 미치는 피해를 조사했다.
여러 통제 집단을 두고 GPT-3의 문제를 조사한 끝에 정치적 문제나 사회적 문제 관련 거짓 정보를 생성하고 유포할 위험성이 크다는 결론을 내렸다. 연구팀은 GPT-3가 많은 명령을 받지 않고도 트위터 게시글을 작성하고는 한 개의 계정으로 정보를 널리 퍼뜨릴 수 있다는 사실을 발견했다.
5. 사이버 공격 퇴치, 해커가 겪는 문제 역이용하라
사이버 보안 업계는 날이 갈수록 랜섬웨어 공격 세력의 수법과 접근 방식, 문제점 등을 깊이 이해한다. IBM X-포스(X-Force) 소속 연구팀은 이란 사이버 전쟁 조직 차밍키튼(Charming Kitten)과 정체가 일치하며, 그동안 제약회사와 언론인, 이란 반정부 인사 등을 겨냥해 피싱 공격을 벌여온 ITG18의 공격을 분석해왔다.
연구팀은 ITG18이 게재한 사이버 공격 튜토리얼 영상을 입수했다. 영상 분석 과정을 통해 해커도 일반 사용자와 마찬가지로 캡챠 해결에 어려움을 겪는다는 점과 랜섬웨어는 주로 허술한 보안 때문에 발생한다는 사실이 드러났다.
IBM X-포스 소속 애널리스트 앨리슨 위코프(Allison Wickoff)는 "ITG18은 지난 18개월간 같은 오류로 어려움을 겪었다"라며, "사이버 보안 업계가 해커가 겪는 문제를 역이용하면서 사이버 공격을 퇴치하는 전략을 고려할 만하다"라고 말했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
![[구혜영 칼럼] 권위의 역전, 아랫사람의 가스라이팅](/news/data/2025/09/30/p1065588084766229_533_h.png)
![[기고] 필드하키, 남북 평화를 여는 새로운 그라운드](/news/data/2025/09/08/p1065577652443752_295_h.png)
![[윤창원 칼럼] 뜨는 도시, 지는 국가 – 지방정부 국제교류의 자율과 책임](/news/data/2025/08/27/p1065597151274916_658_h.png)
![[김대선 칼럼]“사람이 국력입니다”…대통령 직속 ‘자살대책위원회’가 답입니다](/news/data/2025/08/12/p1065607366087447_381_h.png)
![[기고] 박찬대 ‘유감’](/news/data/2025/07/29/p1065571800897621_913_h.png)
![[기고] 내란종식 완수와 개혁·통합을 이끌 여당 대표의 리더십](/news/data/2025/07/28/p1065575493623584_535_h.png)
