카스퍼스키 보고서: DLL 하이재킹 2년 새 2배 이상 증가…AI 기반 SIEM으로 탐지 강화

글로벌 보안기업 카스퍼스키(Kaspersky)는 최근 보고서를 통해 지난 2년간 DLL 하이재킹(DLL Hijacking) 공격이 약 2배 이상 증가했다고 밝혔다. 카스퍼스키는 이 기법이 단순 악성코드 제작자뿐 아니라 APT(Advanced Persistent Threat) 그룹과 조직화된 사이버 범죄 집단의 핵심 침투 수법으로 자리잡고 있다고 경고했다.

DLL 하이재킹이란

DLL 하이재킹은 윈도우의 정상 프로세스가 실행될 때 불러오는 동적 연결 라이브러리(DLL)를 공격자가 악성 DLL로 교체해 악성 코드를 실행하게 하는 공격 기법이다. 정상 프로그램 경로·로드 흐름을 이용해 악성 DLL을 실행시키므로 전통적 시그니처 기반 탐지에는 잘 포착되지 않는다.

변종·사이드로딩의 확대와 표적 지역

카스퍼스키는 공격자들이 DLL 사이드로딩(Sideloading) 등 다양한 변형을 사용해 침투 성공률을 높이고 있으며, 한국을 포함해 러시아, 아프리카 등지의 기업들을 대상으로 한 사례가 다수 관찰됐다고 밝혔다. 공격 목표는 내부 시스템 침투, 권한 상승, 데이터 유출 등으로 확장되고 있다.

AI 기반 라이브러리 분석으로 SIEM 강화

카스퍼스키는 대응책으로 자사 SIEM(Security Information and Event Management) 플랫폼에 AI 기반 라이브러리 분석 서브시스템을 추가했다고 발표했다. 이 서브시스템은 실행 시 로드되는 모든 DLL의 경로, 디지털 서명 여부, 구조 변경 여부 등을 실시간 수집·분석한다.

수집된 데이터는 머신러닝 모델로 평가되어 비정상 패턴이 감지되면 자동으로 이벤트를 생성하고 관리자가 확인할 수 있도록 경보를 발령한다. 이 모델은 규칙 기반 상관분석과 더불어 DLL 로드 이벤트 자체의 이상 여부를 판정하는 ‘콜렉터(Collector)’ 방식으로도 운용되어 위협 헌팅 및 포렌식에 활용될 수 있다.

실전 차단 사례 — ‘토디캣(ToddyCat)’ 공격 저지

카스퍼스키는 AI 기반 탐지 기능이 실제 공격을 조기에 차단한 사례를 공개했다. APT 그룹 토디캣(ToddyCat)이 IIS 프로세스에 악성 DLL을 삽입해 정기적으로 Cobalt Strike 페이로드를 실행하려 했으나, SIEM의 머신러닝 분석이 비정상적인 DLL 로드를 탐지해 공격을 차단했다. 분석 결과 해당 프로세스는 정상 서비스로 위장해 매일 악성 라이브러리를 로드하는 스케줄 작업을 수행하고 있었다.

전문가 권고: 모니터링·서명 검증·AI 적용 필수

카스퍼스키코리아 관계자는 “DLL 하이재킹은 신뢰된 프로그램이 악성 라이브러리를 로드하도록 속이는 방식이라 탐지가 어렵다”며 한국 기업도 이미 주요 타깃에 포함되어 있다고 밝혔다. 연구진은 다음과 같은 대응을 권고한다.

• DLL 로드 경로의 지속적 모니터링 및 의심 행위 탐지
• 디지털 서명 검증 강화 및 서명이 없는 라이브러리 로드 차단
• SIEM/EDR/XDR 등 통합 보안 플랫폼에 머신러닝 기반 행위 탐지 기능 도입
• 정기적 위협 헌팅(Threat Hunting)과 포렌식 로그 보존
• 내부 정책으로 최소 권한 원칙 적용 및 자동화된 무결성 검사 체계 구축

결론 — AI 기반 탐지, 선택 아닌 필수

보안 업계는 DLL 하이재킹이 오래된 기법이지만 정상 프로세스를 악용한다는 점에서 그 위협이 여전히 크다고 지적한다. 단순 시그니처 기반 솔루션만으로는 한계가 있어 AI·머신러닝 기반 행위 탐지 기술의 도입은 이제 선택이 아닌 필수라는 평가다. 카스퍼스키는 국내 기업을 대상으로 관련 워크숍과 SIEM 활용 교육을 확대할 계획이라고 밝혔다.

기업 보안 담당자들은 DLL 로드 로그와 라이브러리 무결성 검사를 우선점검하고, AI 기반 탐지 체계 도입과 내부 대응 프로세스를 재정비할 필요가 있다.