[사건 개요]
최근 구글(Google)은 인공지능(AI)을 활용해 대규모 사이버 범죄를 저질러온 중국 기반의 범죄 네트워크 'Outsider Enterprise'를 상대로 소송을 제기했습니다. 이들은 AI 기술을 이용해 구글 및 주요 브랜드를 사칭, 수십만 명의 피해자로부터 수백만 달러를 갈취한 것으로 알려졌습니다. 특히 'Outsider'라는 이름의 'Phishing-as-a-Service(PaaS)' 플랫폼을 운영하며, 기술적 숙련도가 낮은 범죄자들도 손쉽게 정교한 피싱 공격을 수행할 수 있도록 생태계를 구축했습니다.
최근 구글(Google)은 인공지능(AI)을 활용해 대규모 사이버 범죄를 저질러온 중국 기반의 범죄 네트워크 'Outsider Enterprise'를 상대로 소송을 제기했습니다. 이들은 AI 기술을 이용해 구글 및 주요 브랜드를 사칭, 수십만 명의 피해자로부터 수백만 달러를 갈취한 것으로 알려졌습니다. 특히 'Outsider'라는 이름의 'Phishing-as-a-Service(PaaS)' 플랫폼을 운영하며, 기술적 숙련도가 낮은 범죄자들도 손쉽게 정교한 피싱 공격을 수행할 수 있도록 생태계를 구축했습니다.
주요 공격 지표 및 규모
- 9,000개 이상의 가짜 웹사이트 및 100만 개 이상의 사기성 도메인 배포
- 2주 동안 안드로이드 사용자에게 250만 건의 스팸 문자 전송
- 2023년 7월 이후 약 387만 개의 신용카드 정보 탈취 및 19억 달러(한화 약 2.6조 원) 규모의 피해 발생
- AI(Google Gemini 등)를 활용한 가짜 사이트 및 공격 코드 생성
기술적 특징: AI 기반의 자동화와 클라우드 인프라 오용
Outsider Enterprise는 AI를 사용하여 단 몇 분 만에 실제 웹사이트와 구분이 불가능한 복제 사이트를 생성했습니다. 이들은 Google Cloud 및 Google Drive 인프라를 활용하여 피싱 사이트를 호스팅하는 대담함을 보였으며, 텔레그램(Telegram)을 통해 공격 전략을 공유하고 실시간으로 탈취된 데이터를 관리했습니다. 구글은 이에 대응하기 위해 매월 100억 건 이상의 스팸 메시지를 차단하는 AI 기반 방어 시스템을 가동하고 있으며, FBI 및 주요 통신사(AT&T, T-Mobile, Verizon)와 협력하여 범죄 인프라를 해체하고 있습니다.
Outsider Enterprise는 AI를 사용하여 단 몇 분 만에 실제 웹사이트와 구분이 불가능한 복제 사이트를 생성했습니다. 이들은 Google Cloud 및 Google Drive 인프라를 활용하여 피싱 사이트를 호스팅하는 대담함을 보였으며, 텔레그램(Telegram)을 통해 공격 전략을 공유하고 실시간으로 탈취된 데이터를 관리했습니다. 구글은 이에 대응하기 위해 매월 100억 건 이상의 스팸 메시지를 차단하는 AI 기반 방어 시스템을 가동하고 있으며, FBI 및 주요 통신사(AT&T, T-Mobile, Verizon)와 협력하여 범죄 인프라를 해체하고 있습니다.
아키텍트의 분석: 지능형 위협에 대응하는 Zero Trust와 AI 보안 전략
시니어 아키텍트의 관점에서 이번 사건은 '공격의 민주화(Democratization of Attacks)'가 가져온 보안 패러다임의 변화를 시사합니다.
1. 인프라의 무기화와 탐지 우회
공격자들은 Google Cloud, Shopify와 같은 신뢰받는 클라우드 인프라를 거점으로 활용했습니다. 이는 일반적인 IP 기반 블랙리스트 차단 방식으로는 한계가 있음을 보여줍니다. WAF(Web Application Firewall) 레벨에서 단순 패턴 매칭이 아닌, 동적 행위 분석(Dynamic Behavioral Analysis)과 실시간 도메인 평판(Reputation) 시스템이 결합된 하이브리드 방어 체계가 필수적입니다.
공격자들은 Google Cloud, Shopify와 같은 신뢰받는 클라우드 인프라를 거점으로 활용했습니다. 이는 일반적인 IP 기반 블랙리스트 차단 방식으로는 한계가 있음을 보여줍니다. WAF(Web Application Firewall) 레벨에서 단순 패턴 매칭이 아닌, 동적 행위 분석(Dynamic Behavioral Analysis)과 실시간 도메인 평판(Reputation) 시스템이 결합된 하이브리드 방어 체계가 필수적입니다.
2. AI vs. AI: 오케스트레이션 대결
공격자가 AI를 이용해 Phishing 템플릿과 악성 코드를 자동 생성한다면, 방어자 역시 AI 기반의 SOC(Security Operations Center)를 통해 초단위의 대량 스팸 및 비정상 트래픽을 처리해야 합니다. 구글이 언급한 '100억 건의 메시지 차단'은 단순한 규칙 기반으로는 불가능하며, 대규모 언어 모델(LLM)과 머신러닝 알고리즘이 엣지(Edge) 인프라에서 실시간으로 인스펙션을 수행해야 가능한 수치입니다.
공격자가 AI를 이용해 Phishing 템플릿과 악성 코드를 자동 생성한다면, 방어자 역시 AI 기반의 SOC(Security Operations Center)를 통해 초단위의 대량 스팸 및 비정상 트래픽을 처리해야 합니다. 구글이 언급한 '100억 건의 메시지 차단'은 단순한 규칙 기반으로는 불가능하며, 대규모 언어 모델(LLM)과 머신러닝 알고리즘이 엣지(Edge) 인프라에서 실시간으로 인스펙션을 수행해야 가능한 수치입니다.
3. API 보안 및 실시간 데이터 유출 방지
Outsider 플랫폼은 사용자가 입력한 MFA(다요소 인증) 코드를 실시간으로 가로채는 기능을 포함하고 있습니다. 이는 공격자가 Victim과 Real Service 사이에서 Reverse Proxy 역할을 수행하며 세션을 하이재킹하는 정교한 Man-in-the-Middle(MITM) 공격을 수행하고 있음을 의미합니다. 기업은 FIDO2 기반의 하드웨어 보안 키 도입이나 기기 바인딩(Device Binding) 전략을 통해 정적 패스워드와 OTP의 한계를 극복해야 합니다.
Outsider 플랫폼은 사용자가 입력한 MFA(다요소 인증) 코드를 실시간으로 가로채는 기능을 포함하고 있습니다. 이는 공격자가 Victim과 Real Service 사이에서 Reverse Proxy 역할을 수행하며 세션을 하이재킹하는 정교한 Man-in-the-Middle(MITM) 공격을 수행하고 있음을 의미합니다. 기업은 FIDO2 기반의 하드웨어 보안 키 도입이나 기기 바인딩(Device Binding) 전략을 통해 정적 패스워드와 OTP의 한계를 극복해야 합니다.
원문 출처: Chinese cybercrime operation that used AI to scam ‘hundreds of thousands of victims’ sued by Google
댓글
댓글 쓰기