[디지털데일리 김보민기자] 인공지능(AI) 기술을 악용한 사이버 범죄가 거세진 가운데, 탈취한 정보를 채굴하는 기법 또한 진화하고 있는 것으로 나타났다.

5일 체크포인트리서치에 따르면, 사이버 공격자들은 AI를 활용해 대규모로 탈취된 데이터를 채굴해 관리하고 있다. '멀웨어 데이터 마이닝'이 대표적인 공격 기법으로 진화하는 모습이다.

데이터 마이닝은 대규모 데이터셋에서 규칙, 패턴, 상관 관계, 이상점 등을 자동 분석해 유용한 정보를 추출하는 작업을 뜻한다. 원시 데이터를 가지고 실용적인 지식으로 전환하는 방식인 셈이다. 기업에는 비즈니스 목표를 설정하거나 특정 현상에 대한 결과를 분석할 때 데이터 마이닝을 적용하고 있다.

멀웨어 데이터 마이닝은 탈취한 데이터셋을 다룬다는 점에서, 기존 데이터 마이닝과 유사한 성격을 가진다. 유출 데이터를 활용해 2차 혹은 3차 공격을 가할 때 누구를 표적으로 삼을 수 있는지, 어떤 기법을 활용할 수 있는지 등에 대한 추가적인 인사이트를 추출해낼 수 있기 때문이다. 대표적으로 '룸마(Lumma)C2'와 같은 악성코드의 경우, AI 기반 봇 탐지 기능을 통합해 보안 분석 및 탐지 환경을 걸러내는 데 특화돼 있다.

멀웨어 데이터 마이닝을 내세워 수익 사업을 추진하는 조직도 있다. 일례로 다크웹 업체 '개버스 샵(Gabbers Shop)'은 AI로 대규모 인증 정보 데이터셋을 갖춘 뒤, 데이터 마이닝이 가능하다며 이를 재판매하는 사업을 운영하고 있다. 멀웨어 데이터 마이닝을 직접 수행하는 경우도 있다. 체크포인트리서치에 따르면, 한 위협 행위자는 챗GPT 모델로 악성 대형언어모델(LLM)인 '다크GPT'를 활용해 자연어 쿼리를 만들어 정보 탈취 로그를 분석했다. 이를 통해 자격 증명, 도메인 이름, API 키, 세션 토큰 등 민감 데이터를 추출할 수 있었다. 분석을 자동화해 금융 사기와 기업 침입에 특화된 표적을 선별할 수도 있었다.

체크포인트리서치는 "AI는 새롭고 심각한 위험을 초래한다"며 "AI 기반 데이터 마이닝이라는 개념은 이미 현실이 되었고, 사이버 범죄자들은 AI를 활용해 공격을 최적화하고 운영 규모를 확장하고 있다"고 진단했다. 그러면서 "뿐만 아니라 AI가 생성한 딥페이크는 소셜 엔지니어링 및 신원 사기에 점점 더 많이 사용되고 있고, 공격자가 AI 모델을 조작해 악성코드나 허위 정보를 주입하는 행위도 포착되고 있다"고 말했다.

때문에 AI 악용 공격에 AI 기술로 대응해야 한다고 강조했다. 체크포인트리서치는 "AI 기반 시스템을 사이버 보안에 통합할 경우 기술 악용을 방지하고, 개인정보를 보호하고, 중요 시스템의 무결성을 유지할 수 있을 것"이라며 "AI의 잠재력과 위협 환경 간 균형을 맞추는 것은, 디지털 시대에 기업의 안전과 성공을 보장하는 데 매우 중요하다"고 제언했다.