AI로 해킹코드 짠 북한 ‘김수키’…해킹 자동화 현실화

체크·돋보기 이모지 발견…"전형적 LLM 패턴"
"AI 해킹시대 이미 도래…기존 기술약점 보완"

북한 해킹 그룹들이 인공지능(AI)을 본격적인 공격 도구로 활용하기 시작한 정황이 확인됐다.

단순히 피싱 메일을 다듬는 수준을 넘어 악성코드 제작과 보안 취약점 탐색을 대형언어모델(LLM)에 맡기는 단계로 진입했다는 평가다.

17일 보안 업계에 따르면 글로벌 보안 기업 카스퍼스키는 최근 북한 해킹 그룹 '김수키'가 새롭게 사용한 백도어 '헬로도어' 코드에서 LLM이 작성한 것으로 보이는 흔적을 확인했다.

보고서에 따르면 헬로도어 코드 안에 체크 표시나 돋보기 모양의 이모지가 포함된 영문 주석이 다수 발견됐는데 이는 LLM 서비스의 전형적인 출력 스타일이다.

같은 코드 안에서 오타도 함께 발견됐다. 카스퍼스키는 AI가 생성한 결과물을 사람이 수동으로 수정한 것으로 보인다고 해석했다. AI 활용은 초기 단계로 추정되지만 김수키의 도구 진화 방향을 보여주는 중요한 단서라고 카스퍼스키는 분석했다.

구글 위협인텔리전스그룹(GTIG)도 북한 연계 해킹그룹 'APT45'의 AI 활용 사례를 공개했다. APT45는 수천 건의 반복 프롬프트를 AI 모델에 입력해 보안 취약점(CVE)을 분석하고, 공격 코드의 실행 가능성을 자동으로 검증했다.

GTIG는 "AI 지원 없이 관리가 불가능한 규모의 취약점 무기고를 구축하고 있다"고 평가했다. 사실상 북한 해킹 그룹들이 AI를 통해 공격을 자동화하고 있는 셈이다.

보안업계는 북한 해킹 조직이 AI로 기존의 약점을 보완할 것으로 본다. 코딩 작업 자동화로 악성코드 품질이 높아지고, 한국어 피싱 메시지 생성도 정교해질 수 있다는 것이다.

공격 방식과 표적의 범위도 진화하고 있다. 김수키는 최근 정식 개발도구인 마이크로소프트(MS)의 비주얼 스튜디오 코드 원격 터널링 기능과 원격관리 도구 DW에이전트를 침투 후 활동에 적극 활용하고 있다.

표적 범위는 군·정부 인사. 통신사 직원 등으로 확대됐다.

최근 사용한 악성코드는 정부 전자인증서 저장 경로를 탈취하는 기능을 갖추기도 했다.

AI를 둘러싼 공급망 공격도 새로운 위협으로 떠올랐다. GTIG는 AI 모델 자체를 직접 침해하는 것은 어렵지만 주변의 커넥터와 응용프로그램인터페이스(API) 계층은 그렇지 않다고 분석했다.

GTIG는 "이번 사건의 세부 내용보다 중요한 것은 적대 세력의 AI 활용 시대가 이미 도래했다는 것"이라며 "현재 확인한 AI 개발 제로데이는 빙산의 일각에 불과하고, 다른 사례가 존재할 가능성이 높다"고 경고했다.

김남석 기자 kns@dt.co.kr

미리캔버스가 그린 일러스트.