예상 읽기 시간:6분
지난 몇 주 동안 파치 슬롯 어플버 보안 커뮤니티는 다음에 대해 떠들썩했습니다.Anthropic에서 AI가 조직한 국가 파치 슬롯 어플버 캠페인의 탐지 및 중단을 설명합니다.보고서가 발표된 후 최소 72시간 동안은 요약, 의견 또는 "심층 분석"의 폭격을 받지 않고는 LinkedIn이나 즐겨 사용하는 파치 슬롯 어플버 보안 뉴스 매체를 정독할 수 없는 것 같았습니다. 이 기사의 어조는 불길합니다. "우리는 파치 슬롯 어플버 공격자가 AI를 공개하여 자신의 명령을 수행할 수 있는 지점에 도달했습니다." 액면 그대로 전제가 무서운 것임을 인정하겠습니다. 하지만 의도적으로 그 의미에 대해 생각하고 전체 보고서를 소비하는 시간을 보냈기 때문에 지금은 파치 슬롯 어플이 아닌 진정한 각성의 순간으로 보아야 한다고 생각합니다.
Anthropic의 보고서 요약
보고서에서는 GTG-1002라고 불리는 중국의 국가 행위자가 Anthropic의 AI 기능인 Claude Code를 활용하여 기술, 금융 및 정부 기관을 포괄하는 30개 표적에 대해 6단계 공격을 실행했다고 설명합니다. 더 중요한 것은 소수의 대상에 대한 데이터 침입 및 데이터 유출을 성공적으로 완료했다는 것입니다. 모든 파치 슬롯 어플버 보안 전문가(또는 궁금한 마음이 있는 사람)가 Anthropic의 전체 보고서를 읽고 공격이 어떻게 실행되었는지 진정으로 이해하도록 권장합니다.
여기서 보고서를 다시 설명하기보다는 네트워크 소유자와 운영자가 파치 슬롯 어플버 방어 태세에 더욱 적극적으로 나서야 한다는 점을 강조하면서 4가지 핵심 내용에 집중하고 싶었습니다.
보고서의 4가지 핵심 내용
1. 속도와 자동화
내가 읽은 이 보고서에 대한 대부분의 생각은 이 공격에서 볼 수 있는 자동화 수준에 중점을 두고 있습니다. 그들은 이러한 공격이 달성될 수 있는 규모에 대해 우려를 표명합니다. 하지만 저는 이것을 제안합니다:AI가 도입되기 전에는 악용을 위한 많은 작업이 자동화될 수 있었습니다.파치 슬롯 어플버 보안 연구원들은 이미 AI가 아닌 도구를 사용할 수 있었습니다. 이러한 도구를 사용하면 코드를 작성할 필요 없이 대상 공간을 정의하고 취약점 스캔을 자동화하여 악용할 수 있습니다.
그러나 에이전트 AI를 사용하여 신속하게 대상을 매핑하고 취약점을 평가 및 연구하며 다단계 공격을 실행하는 등 보고서에 설명된 접근 방식은 이러한 작업을 완료할 수 있는 속도가 크게 향상되었음을 나타냅니다.
더 이상 인간이 모든 단계에서 수집된 데이터를 해석할 필요가 없습니다. AI 솔루션은 조사 결과를 요약하고 운영 제안까지 제공하므로 운영자는 이전보다 더 빠르게 '클릭하여 실행할' 수 있습니다.
2. 기술 격차 해소
속도보다 더 무서운 것은 대규모 공격을 실행하는 데 필요한 기술적 능력의 감소입니다. 이전 자동화 도구를 사용하더라도 국가 수준의 파치 슬롯 어플버 행위자가 운영 설정에서 성공하려면 상당한 전문 지식과 기술적 노하우가 필요했습니다.
Anthropic의 보고서는 국가 운영자가 수행되는 악용의 기술적 세부 사항을 이해할 필요 없이 따라야 할 일련의 운영 절차에 대해 교육만 받을 수 있다는 점을 강조합니다. 운영자는 에이전트 AI가 실행할 작업을 승인하기만 하면 되었습니다(예: "클로드가 목표에 접근하기 위한 시도를 계속하길 원하십니까?" 이러한 기능은 이제 두 가지 방식으로 힘 승수 역할을 합니다.실행 속도 증가그리고확장된 유능한 운영자 풀.
3. 탐지 및 완화
저는 서명 기반 침입 탐지 시스템이 네트워크를 보호하는 데 불충분하다는 사실을 수년 동안 고민해 왔습니다. 그것들은 한정된 탐지 조리개를 가지고 있으며, 그것들을 위해 개발된 시그니처만큼만 우수합니다. 실제로 포괄적인 적용 범위를 확보하려면 행동 및 경험적 기반 솔루션이 서명 기반 시스템과 결합되어야 합니다.
나는 이 분야에서 아직 해야 할 중요한 일이 있다고 믿습니다. 네트워크의 정상적인 상태를 지속적으로 업데이트하여 이해할 수 있는 기능이 필요합니다. 변칙적인 이벤트를 추적하고, 여러 이벤트의 상관관계를 파악하고, 알려진 적의 전술, 기술 및 절차와 해당 이벤트를 신속하게 교차 확인해야 합니다. 이는 MITRE ATT&CK 프레임워크에 분류된 것과 마찬가지로 침입 감지의 표준이 되어야 합니다.
탐지 시 시스템은 공격 실행 속도를 따라잡기 위해 자동화된 완화를 실행할 수 있어야 합니다. 보안 운영 센터의 분석가에게 이벤트를 푸시하고 완화를 위한 분석이 완료되기를 기다리던 시대는 지났습니다.
분석할 이벤트의 양은 분석가들을 묻어버릴 것이며, 파치 슬롯 어플버 행위자들은 "차단" 버튼을 누르기 전에 원하는 결과를 얻을 것입니다.
4. 취약점 우선순위 지정
인류 보고서는 제로데이 취약점의 악용을 강조하지 않은 것으로 보입니다. 나에게는 이것이 핵심 요소이다. 공격자의 접근 방식은 스캔 및 정찰을 통해 알려진 취약점을 식별한 다음 식별된 취약점에 대한 익스플로잇을 개발하는 것이었습니다.
보고서에는 개발된 익스플로잇이 정말 새로운 것인지, 아니면 기존 익스플로잇을 기반으로 한 것인지에 대한 세부 정보가 부족합니다. 그러나 이러한 LLM이 기본 수준에서 훈련되고 작동하는 방식에 따라 취약점에 대한 작동 익스플로잇을 개발할 수 있는 능력이 훨씬 더 높아질 것이라고 가정하는 것이 안전합니다. 특히 공개 인터넷에서 이미 익스플로잇이 발견된 경우.
이제 취약성 관리에 신중을 기하고 취약성 우선순위에 관해 더 크게 생각하는 것이 가장 중요합니다.국가 취약성 데이터베이스에 심각으로 나열된 취약성을 단순히 패치하는 회사를 너무 자주 볼 수 있습니다. 이제 그 어느 때보다 분석 기술을 적용하고 취약성 우선순위에 위험 평가를 포함하는 것이 중요합니다. 알려진 공격으로 취약점을 패치한다는 점을 강조해야 합니다. ExploitDB, Metasploit, CISA의 알려진 악용 취약점 카탈로그는 이 정보를 쉽게 활용할 수 있는 소스입니다.
종료 중
Anthropic의 보고서는 진화하는 위협 환경을 극명하게 상기시켜 줍니다.AI 기반 파치 슬롯 어플버 캠페인은 더 이상 먼 가능성이 아닙니다. 바로 여기에 있습니다.. 앞서 나가기 위해 조직은 다음을 수용해야 합니다.선제적 방어 전략, 감지 및 완화를 자동화하고 취약점 관리를 재고해 보세요. 지금은 파치 슬롯 어플이 아니라 행동과 적응이 필요한 시기입니다.