AI와 클라우드 융합 시대의 자격 증명 피싱 대응 전략

피싱은 자격 증명을 탈취하고 기업 환경을 침해하는 데 효과적인 방법 중 하나입니다.  이메일 및 브라우저 보안이 고도화되었음에도 불구하고 공격자들은 AI와 자동화를 활용해 기존 방어 체계를 압도하고 있습니다. Verizon의 2024년 데이터 침해 조사 보고서에 따르면 유출 사건의 68%는 인간의 실수와 관련이 있으며, 피싱 미끼에 반응하는 데 걸리는 시간은 클릭까지 평균 21초, 자격 증명 제출까지는 28초에 불과한 것으로 나타났습니다.  오늘날의 피싱 공격은 단순한 이메일 위조를 넘어, 가짜 SaaS 포털, 악성 파일 공유, AI 기반 사칭 등 사용자 신뢰를 악용하는 다양한 클라우드 기반 공격 형태로 진화하고 있습니다. Cato Networks는 인라인 방식으로 작동하는 융합된 상황 인식형 SASE 플랫폼을 통해 피싱 활동을 감지, 차단, 연계 분석하여 이러한 진화하는 위협으로부터 조직을 보호합니다. 

피싱의 새로운 얼굴: 속임수에서 자동화로

기존의 피싱은 주로 사회공학적 기법과 인간의 실수에 의존했습니다. 하지만 오늘날의 위협 행위자들은 보다 빠르고 정교한 공격을 가능하게 하는 AI 생성 콘텐츠, 복제된 SaaS 포털, 악의적인 자동화를 통해 속임수의 범위를 확장하고 있습니다.

현대의 많은 피싱 캠페인은 Google Drive, SharePoint, Trello 같은 합법적인 클라우드 인프라를 악용하는 ‘Living off the Cloud(클라우드 기반 생존)’ 기법을 사용합니다. 어떤 공격자들은 새로 등록한 도메인(NRD)과 TLS 암호화를 사용하여 페이로드를 숨기고 탐지를 회피합니다.

Gartner는 2027년까지 AI 에이전트가 계정 노출을 악용하는 데 걸리는 시간을 50% 줄일 것이라고 예측하며, 이는 자격 증명을 악용하는데 걸리는 시간이 ‘기계 속도’로 이루어지고 있음을 보여줍니다.  

최근 Cato CTRL 조사에서는 위협 행위자들이 AI 마케팅 플랫폼을 통해 실제와 유사한 Microsoft 365 피싱 포털을 호스팅함으로써 사용자를 속여 기업 자격 증명을 훔친 방법을 밝혀냈습니다. 이는 AI와 사회공학의 융합을 보여주는 대표적인 사례이며, 기존 보안 체계로는 대응이 어렵다는 점을 시사합니다. 

피싱 탐지가 그 어느 때보다 어려운 이유

고도화된 보안 체계를 갖춘 기업조차도 새롭게 대두되고 있는 다음 4가지 문제로 인해 피싱을 제때 탐지하는 데 어려움을 겪고 있습니다.

• 새로 등록된 도메인(NRD): 공격 인프라가 끊임없이 변경되어 평판 기반 차단 방식으는 방어가 어려워지고 있습니다.
• 암호화된 트래픽: TLS는 합법적인 HTTPS 세션에서 피싱 양식과 페이로드를 숨깁니다.
• SaaS 남용: 공격자는 합법적인 클라우드 서비스를 악용해 가짜 로그인 페이지를 호스팅합니다.
• 단편화된 가시성: 포인트 제품은 이메일, 네트워크, 아이덴티티 계층 전반에 걸친 이벤트를 연계 분석할 수 없습니다.

Gartner는 2028년까지 25%의 기업이 보안 엔터프라이즈 브라우저를 도입해 원격 액세스 및 엔드포인트 보안을 강화할 것이라고 예측합니다. Cato는 동일한 근본적인 문제를 원격 브라우저 격리(RBI)와 ZTNA(Cato 브라우저 확장 프로그램 또는 ZTNA 클라이언트 기반)를 통해 해결합니다. 이러한 기능들은 브라우저 트래픽에 정책 제어 및 검사를 적용하여 신뢰할 수 없거나 AI로 생성된 사이트에서 자격 증명이 제출되는 것을 방지하는 데 도움을 줍니다. RBI는 클라우드 기반의 안전한 컨테이너 내에서 웹 세션을 실행해 Gartner가 제시한 안전한 브라우징 및 데이터 보호를 구현하며, 이는 별도 브라우저 배포나 관리 없이 실현할 수 있습니다.

Cato의 융합 피싱 방어 아키텍처 

Cato는 인라인 검사, 행동 분석, 통합 가시성을 결합한 계층적, 상호 연계적, 지속적인 방식으로 피싱 방어를 수행합니다. 이를 통해 피싱 공격의 전체 수명주기에 걸쳐 효과적으로 대응할 수 있습니다.

Cato는 예방, 탐지, 신속한 격리를 통합하는 연속적인 다단계 방어 수명주기를 통해 자격 증명 피싱을 완화합니다. 그림 1에 표시된 바와 같이, 위협은 여러 계층에서 차단됩니다.

• 액세스 차단: 초기 액세스는 위협 방지 기능[DNS 보안, 서비스형 방화벽(FWaaS), IPS]을 통해 차단됩니다.
• 자격 증명 제출 방지: 자격 증명 제출 시도는 위협 방지(IPS 및 RBI) 기능을 통해 식별되고 차단됩니다.
• 대응 및 격리: 애플리케이션 및 데이터 보호 기능(클라우드 액세스 보안 브로커, CASB)을 통해 SaaS 애플리케이션 내에서 위험한 사용자 행위를 제한함으로써 애플리케이션 및 데이터 보호 수준을 한층 강화하며, 공격자가 공격 중 또는 이후에 클라우드 서비스를 악용하지 못하도록 차단합니다. 의심스러운 활동 모니터링(SAM) 및 XOps는 침해 이후의 이상 징후를 탐지하고 네트워크 전반에 걸쳐 이를 상관 분석하며, DLP는 데이터 유출을 방지합니다.
• 침해 이후 탐지: CMA 및 EDR 통합을 통해 사용자를 신속히 격리하고 실시간으로 정책을 업데이트하여 위협을 억제할 수 있습니다.

그림 1. 자격 증명 피싱 완화 수명주기

Cato의 통합 방어 체계는 지속적인 루프 구조로 작동하여 액세스를 막고, 자격 증명 제출을 방지하며, 침해 이후 활동을 탐지하고, 사고를 실시간으로 차단합니다.

핵심 보호 기능이 작동하는 방식

Cato는 여러 보안 엔진을 병렬로 통합하여 대규모로 피싱 공격을 탐지하고 대응합니다. 각 계층은 웹, 클라우드, 액세스 트래픽 전반에 걸쳐 고유한 가시성과 제어 능력을 제공합니다.

위에서 언급한 Cato의 기능 중 일부를 간단히 미리 보여드리겠습니다. 아래 영상에서는 Cato가 링크를 차단하고 사용자에게 경고를 보낸 뒤 SOC에 해당 이벤트를 기록하여 실시간으로 피싱을 차단하는 과정을 볼 수 있습니다.

액세스부터 대응까지, 통합된 인라인 보호

트래픽을 개별적으로 검사하는 포인트 제품과 달리, Cato는 각 PoP 내에서 모든 WAN, 인터넷, 원격 액세스 트래픽을 인라인으로 검사합니다.
인터넷 방화벽, IPS, DNS 보호, CASB, ZTNA, RBI에서 발생한 모든 탐지는 XOps로 통합되어 ‘보안 스토리(Security Stories)’로 상관 분석됩니다.

Cato 관리 애플리케이션(CMA)을 통해 보안팀은 피싱 관련 이벤트를 시각화하고, 사용자 세션을 분석하며, 콘솔이나 도구를 전환하지 않고도 즉시 새로운 정책을 시행할 수 있습니다.

Cato의 엔진 간 상관 분석 기능을 사용하면 전체 공격 흐름을 빠르게 이해하여 여러 개의 알림을 실행 가능한 하나의 보안 내러티브로 전환할 수 있습니다.

막을 수 없는 위협에 대응하기

어떤 조직도 피싱을 완전히 차단할 수는 없습니다. 하지만 Cato는 검사, 사용자 식별, 분석 기능을 하나의 클라우드 네이티브 아키텍처에 통합함으로써 위험을 낮추고 탐지 속도를 높이며 자격 증명 탈취로 인한 피해를 최소화합니다.

AI 기반 탐지, 안전한 브라우저 격리, 통합 가시성을 갖춘 Cato는 기존의 수동적인 피싱 대응을 능동적인 방식으로 전환합니다. 피싱 대응력은 모든 링크를 차단하는 데 있는 것이 아니라, 의도를 탐지하고 노출을 제한하며 보안 침해 시 피해가 확산되기 전에 차단하는 데 있습니다.

Cato CTRL의 관련 블로그 게시물 더 탐색하기:

• Cato CTRL: 의심되는 러시아 위협 행위자 
• 위협 행위자들이 단순화된 AI를 악용하여 Microsoft 365 자격 증명을 탈취하다  

더 심층적인 기술 개요 및 구성 지침은 Cato 안티 피싱 보호 관련 지식 베이스 문서를 참조하세요