北해킹, ‘AI 자동화’ 진입… 소수 인력으로 대규모 타격 위협

김수키 백도어에 LLM 관여 정황
피싱·코딩·취약점 분석까지 활용

북한 해킹 조직이 인공지능(AI)을 사이버 공격에 적극 활용하고 있다. 악성코드와 피싱(사기) 메시지를 생성하고, 공격 대상의 취약점을 파악하는 등 해킹 전 과정에 AI를 사용하고 있는 것이다. 해킹을 핵·미사일과 함께 ‘만능 보검’으로 규정한 북한이 AI 힘을 빌어 소수 인력으로도 가공할 만한 공격을 퍼부을 수 있다는 우려가 나온다.

17일 보안 업계에 따르면 북한의 해킹 기법은 이미 AI를 기반으로 한 자동화 수준에 도달했다. 글로벌 사이버 보안 기업 카스퍼스키는 최근 발간한 보고서에서 북한 해킹 그룹 ‘김수키(Kimsuky)’가 사용한 백도어 ‘헬로도어’에서 대규모 언어 모델(LLM)이 코드 작성에 관여한 정황을 확인했다고 밝혔다. 코드 내에서 이모티콘이 들어간 주석과 문법 오류 등이 발견된 것이다. 악성코드 제작 과정 일부를 인간이 아닌 AI가 담당했을 것으로 해석할 수 있는 대목이다.

김수키는 북한의 대표적인 대남 공작 조직 정찰총국 산하 해킹조직이다. 이들은 2022년 5월 태영호 당시 국민의힘 의원실을 사칭해 국내 외교·통일·안보·국방 전문가 892명을 겨냥한 해킹을 시도한 바 있다. 2014년에는 한국수력원자력을 공격하는 등 국내외에서 일어난 굵직한 사이버 공격의 배후로 지목된다.

북한은 공격 타깃의 취약점을 파악하는 데도 AI를 무기로 활용 중이다. 구글 위협인텔리전스그룹(GTIG)에 따르면 북한의 또 다른 해킹 조직 ‘APT45’는 AI를 통해 프롬프트 수천개를 반복 전송했다. GTIG는 이를 두고 “취약점을 분석하고, 공격 코드를 검증하는 작업을 자동화화는 징후”라고 설명했다.

나아가 AI 기술은 북한 해커들의 약점을 보완하는 도구가 되고 있다. 자동 코드 생성을 통해 개발 역량 한계를 넘어섰고, 자연스러운 텍스트 제조로 언어적인 장벽까지 허물면서 피싱 공격이 한층 정교해졌다. 소수 인원만으로도 얼마든지 대규모 사이버 공격을 감행할 수 있는 환경이 구축됐다는 우려가 나오는 이유다.

문제는 AI 기반 자동화로 공격에 들어가는 비용은 낮아진 반면 공격 속도는 걷잡을 수 없이 빨라지고 있다는 점이다. 이렇게 벌어들인 수익은 해킹 도구를 고도화하고, 관련 인력을 양성하는 데 재투자된다. 박원곤 이화여대 북한학과 교수는 “북한이 교육현장에 AI를 도입한 지 꽤 됐는데, 해커 육성과도 연관이 있을 것”이라며 “핵·미사일 개발에 필요한 자금의 상당 부분을 해킹으로 조달하고 있는 만큼, 사이버 공격 역량을 키우는 데 집중할 것”이라고 분석했다. 북한 해커 1700여명이 북한과 중국, 러시아 등에서 활동하는 것으로 알려졌다.

한 대북 소식통은 “대북 제재 등으로 AI 관련 장비를 확보하는 데 한계가 있어서 아직까지는 정교한 공격은 하지 못하고 있을 것”이라면서도 “해킹 역량이 출중하기 때문에 향후에는 더 큰 위협이 될 수 있다”고 지적했다.

손재호 기자 sayho@kmib.co.kr

GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재 및 수집, 재배포 및 AI학습 이용 금지