북한 해킹조직, 위장 취업 공격 고도화... 내부망 침투 후 악성코드 유포

북한 해킹조직, 에이전틱 AI 위장 취업 공격... LLM 기반 가짜 이력서 생성
내부망 침투 및 가짜 기업 사이트 구축

[보안뉴스 김형근 기자] 북한 연계 해킹 조직이 인공지능(AI)을 활용해 위장 취업 사기의 규모와 정밀도를 크게 높이는 정황이 발견됐다. 마이크로소프트(MS) 위협 정보팀은 이와 같은 사실을 공개하고 관련 기업 및 기관의 대응을 촉구했다.

[출처: gettyimagesbank]

재스퍼 슬릿(Jasper Sleet)과 코랄 슬릿(Coral Sleet)으로 불리는 이 조직들은 대형 언어 모델(LLM)을 활용해 서구권 기업의 채용 공고를 분석하고, 이에 맞춘 가짜 이력서를 생성하는 방식으로 활동하고 있다.

이들은 언어와 문화적 장벽을 극복하기 위해 챗봇을 활용해 자연스러운 현지인처럼 행동하며, 면접 과정에서는 음성 변조 소프트웨어까지 동원해 신원을 숨긴다.

특히 해커들은 페이스스왑(FaceSwap)과 같은 얼굴 합성 기술을 악용해 훔친 신분증 이미지에 자신의 얼굴을 합성하는 방식으로 가짜 IT 전문가 신분을 만들어낸다. 이후 목표 기업에 취업해 내부망에 접근한 뒤에도 AI를 활용해 코드 작성이나 이메일 업무를 수행하며 정상 직원처럼 활동을 이어간다.

북한 정권의 외화 확보가 주요 목적이지만, 이 과정에서 확보한 내부 접근 권한은 향후 사이버 공격을 위한 발판으로 활용될 가능성이 있다.

코랄 슬릿은 한발 더 나아가 자율형 인공지능인 ‘에이전틱 AI’를 활용해 가짜 회사 웹사이트 구축과 악성코드 유포 등 공격 과정을 자동화하고 있다. 또한 탈옥(Jailbreak) 기법을 활용해 AI의 안전 장치를 우회하고, 내부 인프라 장악을 위한 웹 환경을 빠르게 구축하는 것으로 분석됐다.

MS 연구진은 이러한 자율형 공격 전술이 기업의 보안 탐지 체계에 상당한 부담을 줄 수 있다고 경고했다. 다만 일부 기업에서는 면접 과정에서 현지 지리나 정치 상황 등 구체적인 질문을 통해 위장 취업 시도를 식별하는 사례도 나타나고 있다.

보안 기업 사이데레스(Cyderes)는 기업들이 채용 검증 절차를 강화하면서 최근 6개월 동안 북한의 위장 취업 시도가 일정 부분 감소한 것으로 분석했다. 그러나 공격자들이 AI 활용을 더욱 고도화할 가능성이 높은 만큼, 기업들은 화상 면접과 신원 검증 절차의 보안 수준을 지속적으로 강화할 필요가 있다고 강조했다.