사이버 보안 AI 악성코드 이스라엘 사이버 공격 산업 제어 시스템 OT 보안

AI가 만든 악성코드? 실체는 ‘허위 위협’

AI가 발전하면서 인프라를 겨냥한 악성코드가 등장할 것이라는 우려는 꾸준히 제기되어 왔다. 그러나 최근 이스라엘 수도 시설에 대한 공격을 목표로 했다는 ‘시온시폰(ZionSiphon)’이라는 악성코드는 실제 위협이 아니었다. 사이버 보안 기업 드래고스(Dragos)는 이 악성코드가 ‘허위’라고 밝히며, 기술적 결함으로 인해 작동 자체가 불가능했다고 주장했다.

‘시온시폰’의 실체는 무엇인가?

‘시온시폰’은 AI 기반 사이버 보안 기업 다크트레이스(Darktrace)가 처음 발견한 악성코드로, 이스라엘 수도 시설과 담수화 플랜트를 표적으로 삼은 것으로 알려졌다. 악성코드는 IP 주소를 스캔해 대상 시스템에 침투한 뒤, 염소 농도를 조작하거나 수질을 오염시키는 공격을 시도하는 것으로 묘사되었다.

악성코드 내부에 포함된 문자열에는 이스라엘 수도 시설 구성 요소의 이름과 ‘이란, 팔레스타인, 예멘의 형제들을 지지한다’는 정치적 메시지가 포함되어 있었다. 그러나 드래고스의 기술 리드 악성코드 분석가 지미 와일스(Jimmy Wyles)는 이 악성코드가 ‘허위’라고 일축했다.

기술적 결함으로 인한 ‘허위 위협’

와일스는 악성코드의 코드가 ‘파손되어 있으며, 담수화 시설이나 산업 제어 시스템(ICS) 프로토콜에 대한 이해가 거의 없다’고 지적했다. 특히 개발자들은 AI를 활용해 코드의 상당 부분을 생성했지만, 그 결과는 ‘환각’과 오류로 가득했다.

예를 들어, Windows 기반 프로세스 이름과 디렉터리 경로는 ‘허구적인 AI 생성 추측’으로 가득했으며, 염소 농도 조작을 위한 구성 파일 또한 AI로 생성된 가짜였다. 다크트레이스의 분석에 따르면 테스트된 악성코드 샘플은 ‘국가 대상 기능의 잘못된 구성’으로 인해 기능하지 않았다.

와일스는 악성코드가 올바르게 구성되더라도 나머지 코드에 ‘논리 오류와 잘못된 가정’이 가득해 ‘비정상적으로 작동할 수밖에 없었다’고 설명했다. USB 감염 및 자체 파괴 기능 또한 유사한 결함을 보였다.

AI 기반 위협에 대한 과도한 관심?

이번 사건은 AI 기반 해킹 위협에 대한 과도한 관심과 전통적인 공격 기법 간의 균형을 논의하게 만든다. 특히 산업 제어 시스템(OT)과 정보 기술(IT) 환경은 완전히 다르며, 이는 사이버 보안 방어자뿐만 아니라 악성 해커들에게도 큰 도전 과제가 된다.

드래고스는 공개된 산업 제어 시스템 위협용 악성코드 샘플이 ‘10개도 채 되지 않는다’고 밝히며, ‘시온시폰’은 그 목록에 포함되지 않는다고 강조했다. 와일스는 “우리는 적대자의 악성코드를 고치는 사업을 하지 않는다”며 추가 분석을 보류했다고 밝혔다.

OT 보안의 현실적 과제

산업 제어 시스템은 수처리 시설, 발전소 등에서 기계 장치를 제어하는 시스템으로, IT 환경과는 달리 산업 특화된 지식이 필요하다. 이는 사이버 보안 전문가와 해커 모두에게 높은 진입 장벽으로 작용한다. 드래고스는 OT 환경에 특화된 위협이 상대적으로 드물지만, 그 중요성은 매우 크다고 지적했다.

이번 ‘시온시폰’ 사태는 AI가 발전하면서 새로운 위협이 등장할 것이라는 우려가 과장될 수 있음을 보여준다. 기술적 결함과 산업 지식의 부족으로 인해 실제 위협으로 이어지지 않는 경우가 많다는 점을 시사한다.

출처: CyberScoop
‘유포리아’ 시즌3 2회, 역대 최고 시청률로 인기 입증…시즌3 프리미어 2000만 뷰 돌파
← 이전

‘유포리아’ 시즌3 2회, 역대 최고 시청률로 인기 입증…시즌3 프리미어 2000...

 트럼프 행정부, 연방법집행직 4천 명 이상 해고…범죄·테러 대응력 약화
다음 →

트럼프 행정부, 연방법집행직 4천 명 이상 해고…범죄·테러 대응력 약화