카스퍼스키가 최근 2년간 DLL 하이재킹 공격이 2배 증가했다고 밝혔다. 이에 대응해 AI 기반 기능을 추가한 자사 SIEM 플랫폼은 DLL 하이재킹 공격 징후를 효율적으로 탐지한다. 새로운 서브시스템은 로드된 라이브러리를 실시간 분석해 위협을 조기에 차단하는 데 기여한다.
카스퍼스키는 최근 2년 동안 DLL 하이재킹 공격이 2배 증가했다고 밝혔다. 이에 대응해 카스퍼스키 SIEM(Security Information and Event Management) 플랫폼에 AI 기반 기능을 추가해 DLL 하이재킹 공격 탐지 효율을 높였다.
DLL 하이재킹은 공격자가 합법적인 프로세스에 로드되는 동적 연결 라이브러리(DLL)를 악성 라이브러리로 교체하는 공격 기법이다. 이 방식은 스틸러, 뱅킹 트로이목마 등 악성코드 제작자뿐 아니라, APT 그룹과 사이버 범죄 조직이 정교한 타깃 공격에 활용한다.
카스퍼스키는 2023년부터 2025년까지 DLL 하이재킹과 DLL 사이드로딩 등 변형 공격 사례를 다수의 국가와 기업에서 관찰했다. 이를 대응하기 위해 SIEM 플랫폼 내에 AI 기반 서브시스템을 도입해 로드된 라이브러리 정보를 지속적으로 분석하도록 했다.
새로운 기능은 실제 운영 환경에서 효과를 입증했다. 카스퍼스키는 APT 그룹 토디캣(ToddyCat)의 공격을 조기에 탐지하고 차단해 피해 확산을 막았다. 이를 통해 정보 탈취형 악성코드와 로더 감염 시도도 함께 탐지했다.
카스퍼스키 AI 연구센터의 안나 피자코바 데이터 사이언티스트는 “DLL 하이재킹은 신뢰할 수 있는 프로그램이 가짜 라이브러리를 로드하도록 유도하는 공격으로, 탐지가 매우 어렵다”며 “AI 기반 보호 기술은 진화하는 위협에 대응하고 핵심 시스템을 보호하는 핵심 요소가 될 것”이라고 말했다.
카스퍼스키 이효은 한국지사장은 “신뢰 프로그램을 악용한 DLL 하이재킹은 APT 그룹과 사이버 범죄 조직의 공통 도구로 자리잡았다”며 “Kaspersky SIEM의 AI 기반 서브시스템은 토디캣 그룹의 공격을 조기에 차단한 것처럼 탐지가 어려운 위협을 효과적으로 식별한다. 기업은 AI 기반 탐지 기술을 통해 지속적으로 진화하는 공격에 대응하고 주요 인프라를 보호해야 한다”고 밝혔다.
카스퍼스키의 연구 블로그 ‘Securelist’는 DLL 하이재킹 탐지를 위한 머신러닝 모델 개발과 해당 모델이 SIEM 플랫폼에 통합된 사례를 각각 다룬 두 편의 기술 기사를 게시했다.
By 기사제보 및 정정요청 = PRESS@weeklypost.kr
〈저작권자ⓒ 위클리포스트, 무단전재 및 재배포 Ai 학습 포함 금지〉
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요