북한, AI로 전세계 320개 기업에 위장취업해 해킹

북한이 생성형 인공지능(AI)으로 가짜 신분을 만들어 전 세계 수 백 개 기업에 위장취업해 해킹을벌이는 것으로 나타났다.

미국의 사이버 보안업체 크라우드스트라이크는 1일 발표한 '2025년 위협 헌팅 보고서'를 통해 지난해 북한이 생성형 AI로 가짜 신분을 만들어 320개 이상의 기업에 침투했다고 밝혔다. 이 업체는 260개 이상의 사이버 공격 세력을 추적해 이 보고서를 작성했다.

보고서에 따르면 '페이머스 천리마'(famous chollima)로 알려진 북한의 해킹조직은 해킹 프로그램의 모든 과정을 자동화한 생성형 AI로 가짜 이력서와 가짜 인터뷰 자료를 만들어 지난해 320개 이상의 기업에 위장취업했다. 이는 전년 대비 220% 증가한 수치다. 특히 이들은 AI로 신분을 위조해 미국, 캐나다, 독일, 네델란드, 영국, 인도, 일본, 브라질 등 미주와 유럽, 아시아 지역의 대기업에 소프트웨어 개발자로 위장취업해 기술 과제 등을 수행하며 사이버 공격을 확장했다.

북한의 페이머스천리안 조직이 사이버 공격 대상으로 삼은 국가(오른쪽)와 산업분야. 크라우드스트라이크 제공

페이머스 천리마는 위조된 신분을 이용해 개발자로 취업한 뒤 기업에서 받은 노트북을 미국 여러 곳에 마련한 노트북 팜에 보내 해킹 도구로 활용했다. 노트북 팜이란 악성 코드를 심은 노트북 여러 대를 설치해 원격 조종으로 불법 해킹을 벌이는 시설이다. 크라우드스트라이크는 미국 일리노이, 뉴욕, 텍사스, 플로리다 등에서 다수의 노트북 팜을 발견했다. 페이머스 천리마는 이렇게 마련한 노트북 팜을 통해 소프트웨어 개발에 사용된 프로그래밍 코드 등 지적재산권을 훔치거나 기업의 자금을 가로챈 것으로 조사됐다.

이와 함께 크라우드스트라이크는 최근 늘고 있는 AI 에이전트가 사이버 공격의 주요 표적이 되고 있다고 경고했다. AI 에이전트는 AI를 이용해 특정 분야 또는 업무를 수행할 수 있도록 개발된 비서 같은 도구다. 보고서에 따르면 AI 에이전트의 접근 권한 등을 탈취한 뒤 이를 이용해 악성 코드를 배포하는 사례가 늘고 있다. 크라우드스트라이크의 애덤 마이어스 공격 대응 작전총괄은 "기업에서 도입한 AI 시스템이 사이버 공격의 주요 표적이 되고 있다"며 "이용 권한을 탈취하는 방식으로 AI 에이전트를 공략한다"고 강조했다.

최연진 IT전문기자 wolfpack@hankookilbo.com