최고정보보안책임자(CISO)는 네트워크와 엔드포인트 시스템을 모니터링해 악성 활동을 식별할 수 있는 다양한 도구를 보유하고 있다. 그러나 보안 리더에게는 조직 구성원의 보안 인식 제고와 교육이라는 더 큰 책임이 주어지고 있다.

사이버보안은 공격자와 방어자 간의 끊임없는 전투이다. 공격이 더욱 정교해지고 회피 기법이 발전할수록, 보안 통제는 선제적으로 대응해야 한다. 다음은 사이버 범죄자가 흔적을 감추기 위해 사용하는 전술과 기법이다.

신뢰할 수 있는 플랫폼 악용

필자의 조사에 따르면, 난독화, 스테가노그래피, 악성코드 패킹 기법과 더불어, 공격자는 합법적인 서비스·플랫폼·프로토콜·도구를 활용해 활동을 수행한다. 이 방법은 정상적인 트래픽이나 활동에 섞여 사람과 기계 모두에게 ‘정상’으로 보이게 한다.

최근 APT41로 알려진 중국 해킹 그룹은 구글 캘린더를 명령·제어(C2) 서버로 악용하며, 캘린더 이벤트를 통해 악성코드 통신을 수행했다. 방어 측면에서는 심각한 도전 과제이다. 특정 공격자 전용 IP나 도메인은 차단이 쉽지만, 조직 전체가 사용하는 합법적 서비스 차단은 현실적으로 어렵다.

과거에도 공격자는 코발트 스트라이크, 버프 콜래버레이터, 엔그록 같은 침투 테스트 도구를 악용했다. 2024년에는 오픈소스 개발자를 노린 해커가 페이스트빈을 활용해 악성코드 페이로드를 호스팅했고, 2025년 5월에는 보안 전문가 옥스 그렙(Aux Grep)이 JPG 이미지 메타데이터를 활용한 탐지 불가능(FUD) 랜섬웨어를 시연했다.

또한 깃허브 댓글 기능이 악용돼, 마이크로소프트 공식 저장소에 있는 것처럼 보이는 악성 ‘첨부파일’을 배포하기도 했다. 이런 서비스는 직원, 개발자, 윤리적 해커 모두가 사용하기 때문에 일괄 차단이 어렵고, 심층 패킷 검사(DPI)와 강력한 엔드포인트 보안 규칙이 필요하다.

정상 소프트웨어 라이브러리 백도어 삽입

2024년 4월, XZ 유틸리티 라이브러리가 수년간 진행된 공급망 공격의 일환으로 백도어에 감염된 것이 드러났다. 널리 사용되는 데이터 압축 라이브러리로, 주요 리눅스 배포판에 포함돼 있었다.

최근 10년 동안 오픈소스 라이브러리에 악성코드가 삽입되는 사례가 늘고 있다. 유지보수가 중단된 라이브러리를 공격자가 탈취해 악성 코드로 변조하는 방식이다.

2024년에는 인기 자바스크립트 임베디드 컴포넌트 로티 플레이어가 공격당했다. 개발자 액세스 토큰이 탈취돼 공격자가 로티 코드를 변조했으며, 이를 사용하는 웹사이트 방문자에게 가짜 암호화폐 지갑 로그인 페이지를 표시했다. 같은 해 R스팩(Rspack)과 반트(Vant) 라이브러리도 동일한 피해를 입었다.

2025년 3월, 보안 연구원 알리 엘샤칸키리는 탈취된 암호화폐 라이브러리를 분석한 결과, 정보 탈취 기능이 삽입돼 있었다. 이런 공격은 주로 유지보수가 중단된 라이브러리 관리 계정을 피싱이나 크리덴셜 스터핑으로 탈취해 이뤄진다.

AI/LLM 프롬프트 인젝션과 피클 악용

프롬프트 인젝션은 LLM이 악의적인 지시를 실행하게 만드는 공격으로, 민감한 데이터 유출 등으로 이어질 수 있다. 최근에는 보이지 않는 특수 유니코드 문자를 삽입하는 ‘보이지 않는 프롬프트 인젝션’ 기법이 보고됐다.

또한 허깅페이스에 게시된 일부 AI/ML 모델은 피클(Pickle) 기능을 악용해 실행 즉시 공격자에게 쉘을 제공하는 백도어 역할을 했다.

탐지 회피용 폴리모픽 악성코드

AI는 폴리모픽 악성코드 생성에 악용돼, 매번 코드 구조를 변경해 전통적인 시그니처 기반 탐지를 우회한다. 이 기법은 탐지율을 거의 0에 가깝게 낮출 수 있다. 다만 행위 기반 EPP나 위협 인텔리전스 시스템이 동적 분석으로 식별할 수 있다.

비주류 프로그래밍 언어 활용

러스트(Rust), 고랭(Go), D, 님(Nim) 같은 언어는 역공학을 어렵게 하고 탐지를 회피할 수 있다. 2025년 5월, 소켓(Socket) 연구팀은 고 모듈에 삽입된 디스크 와이퍼 페이로드를 발견했다.

소셜 엔지니어링의 재발명

클릭픽스(ClickFix), 파일픽스(FileFix), 비트B(BitB) 공격은 브라우저 UI를 악용해 사용자가 명령을 실행하도록 유도한다. 단순한 소셜 엔지니어링이 기술적 방어를 우회하는 사례다.
dl-itworldkorea@foundryco.com