생성AI로 날개다는 北 해커들… 아직은 '속임수' 수준, 위협 커진다

임종철 디자이너 /사진=임종철 디자이너

북한 해커들이 사이버 첩보 등 위협행위에 LLM(대형언어모델) 등 생성형 AI(인공지능)에 관심을 기울이고 있어 주의가 필요하다는 의견이 제시됐다.

생성형AI를 이용한 사이버 위협행위는 아직 초기 단계에 머물러 있고 추가 공격을 위해 이용자를 속여 특정 링크에 접속하거나 파일을 내려받게 하는 등 '사회공학적' 기법에 쓰이고 있을 뿐이지만 그 위험성은 더 커질 것이라는 전망도 나왔다.

구글 계열 사이버 보안 기업 맨디언트는 18일 악성 활동에 AI 활용을 시도하거나 이 분야에 관심을 보이는 사이버 공격자들의 다양한 방법을 정리한 보고서를 발간했다며 이같이 밝혔다. 앞서 지난 4월 맨디언트는 2018년 이후 '김수키' '탈륨' 등으로 명명돼 왔던 북한 해커그룹이 북한 정찰총국 임무를 지원하기 위해 암호화폐 탈취, 자금세탁 등을 벌여왔다는 내용의 보고서를 발간한 바 있다.

맨디언트는 이번 보고서와 관련한 자사 블로그 포스팅에서 "공격자들은 이미 AI 활용을 실험 중"이라며 "아직 실전에서 제한적으로 활용하고 있지만 앞으로 더 많은 정보 작전에서 AI도구를 활용할 것"이라고 했다.

또 "북한 APT43이 사이버 첩보 활동에 널리 사용할 수 있는 LLM에 관심을 보이고 있음을 확인했다"며 "이 공격 그룹이 널리 쓰이는 LLM 도구에 로그온한 증거가 있다. LLM으로 작업을 수행할 가능성이 있어 보이지만 그 목적은 아직 분명하지 않다"고 했다.

이어 "위협 행위자들은 LLM을 사용해 공격 대상이 사용하는 언어에 관계 없이 매력적인 미끼자료를 만들 수 있다"며 "공격 대상자의 특징을 반영한 음성·텍스트를 생성해 초기 침해 공격 성공 확률을 높이 수 있는 자료를 만들 수 있다"고도 했다.

생성형 AI를 통한 미끼자료를 활용한 사례로 △북한 스파이가 KYC(Know Your Customer, 고객신원인증) 요건을 무력화 한 사례 △이스라엘 군인을 대상으로 한 음성 변경기술 활용 사례 △금전적 동기를 가진 공격자들이 업무용 이메일을 활용한 공격을 감행할 때 조작된 동영상과 음성 콘텐츠를 사용한 사례 등이 꼽혔다.

맨디언트는 공격자들이 생성형AI를 활용해 정보작전 범위를 넓힐 뿐 아니라 '가짜'라고 의심하기 어려운 사실적 콘텐츠를 생성하는 데 쓸 것으로 봤다. LLM 등 AI기술 덕에 국경과 언어의 장벽을 넘어 공격을 감행할 수 있을 뿐더러 피해자들을 감쪽같이 속여버릴 수 있을 만한 정교한 가짜뉴스를 만들 수 있다는 것이다. AI를 활용한 가짜 정보들은 이미지, 동영상, 텍스트 등 다양한 형태로 나타날 것으로 예상됐다.

실제 아직도 러시아와 전쟁을 진행 중인 우크라이나와 관련해서는 젤렌스키 대통령이 항복선언을 하는 딥페이크 동영상이 유포된 바 있었고 미국에서는 펜타곤 근처에서 폭발사고가 일어났음을 보여주는 가짜 AI 이미지로 증시가 잠시 하락하는 등 사태가 벌어지기도 했다.

공격자들이 악성 프로그램 제작에 생성형 AI를 활용할 수 있다는 점도 위협요인으로 꼽혔다. 실제 개발자들이 이미 코파일럿 등 솔루션을 활용해 코딩 과정에 AI를 활용하는 것과 마찬가지로 공격자들 역시 악성행위에 AI를 활용해 보다 쉽고 정교하게 악성 프로그램을 제작할 수 있게 된다는 지적이다.

맨디언트는 "기술에 대한 위협 행위자들의 이해와 능력이 높아지면서 다양한 배경과 목표를 가진 공격자들이 생성형 AI 활용을 늘려갈 것"이라며 "사용자와 기업 모두 생성형 AI로 수집된 정보에 대한 주의가 필요하다"고 당부했다.

황국상 기자 gshwang@mt.co.kr