(씨넷코리아=윤현종 기자) 사이버 보안 리더 카스퍼스키가 지난 2년간 DLL 하이재킹(윈도 운영체제에서 프로그램을 실행할 때 불러오는 동적 연결 라이브러리(DLL, 를 사이버 공격을 위한 DLL로 바꿔치기) 공격이 2배 늘었다고 27일 밝혔다.
DLL 하이재킹은 윈도 운영체제에서 프로그램을 실행할 때 필요한 동적 연결 라이브러리(DLL, Dynamic Link Library)를 공격자가 조작하거나 위조된 DLL로 대체, 이로 인해 파일을 잘못 불러오면서 악성 코드가 실행되는 공격 방법이다.
이에 대응해 최신 카스퍼스키 SIEM(Security Information and Event Management 플랫폼에는 AI 기반 기능이 추가되어 DLL 하이재킹 공격 징후를 탐지하는 효율성이 향상되었다.
DLL 하이재킹은 공격자가 합법적인 프로세스에 로드되는 라이브러리를 악성 라이브러리로 교체하는 일반적인 공격 기법이다. 이 기법은 스틸러, 뱅킹 트로이목마 등 대규모 피해를 주는 악성코드 제작자뿐 아니라, APT 그룹과 사이버 범죄 조직이 타깃 공격에 활용한다.
카스퍼스키는 2023~2025년 동안 DLL 하이재킹 및 DLL 사이드로딩 등 변형 공격 사례를 러시아·아프리카·한국 등 여러 국가 및 지역의 기업 대상 공격에서 관찰했다. 이러한 위협에 대한 보호 기능을 강화하기 위해, 카스퍼스키 SIEM은 모든 로드된 라이브러리 정보를 지속적으로 분석하는 AI 기반 전용 서브시스템을 도입했다.
이번 신규 기능은 이미 효과를 입증했다. APT 그룹 토디캣(ToddyCat)의 공격을 조기에 탐지하고 차단하는 데 성공했다. 이를 통해 타깃 조직에 대한 피해를 예방했으며, 정보 탈취 악성코드 및 악성 로더 감염 시도도 탐지했다.
안나 피자코바 카스퍼스키 AI 연구센터 데이터 사이언티스트는 “신뢰할 수 있는 프로그램이 가짜 라이브러리를 로드하도록 속는 DLL 하이재킹 공격이 점점 늘고 있다. 공격자는 이를 통해 몰래 악성 코드를 실행할 수 있다. 탐지가 어려운 이 공격 기법에 AI가 중요한 역할을 할 수 있다. AI 기반 고급 보호 기술을 활용하는 것은 점점 진화하는 위협에 대응하고 핵심 시스템을 안전하게 지키는 필수 요소다”고 강조했다.
이효은 카스퍼스키 한국지사장은 “지난 2년간 DLL 하이재킹 공격이 2배 증가했다. 신뢰하는 프로그램을 악용해 악성 라이브러리를 로드하는 방식은 APT 그룹과 사이버 범죄 조직의 공통 도구가 되었으며, 한국 기업도 이러한 위협에 직면하고 있다”고 설명했다.
그러면서 “카스퍼스키 SIEM은 로드된 라이브러리 정보를 지속적으로 분석하는 AI 기반 서브시스템을 추가했다. 토디캣 그룹의 공격을 조기에 차단한 사례처럼, 이 서브시스템은 탐지가 어려운 위협을 효과적으로 대응할 수 있다. 기업은 AI 기반 보호 기술을 활용하여 진화하는 위협에 대응하고 핵심 시스템을 안전하게 지키는 것이 핵심이다”고 밝혔다.
