北·中 해커들, AI 기술 앞세워 공격 늘렸다
MS "해커들, 생산성 제고에 AI 사용했다"
구글, 클라우드 사업 중심으로 경계 강화

북한과 중국 연계 해커 조직이 인공지능(AI)을 무기로 전 세계 주요 산업·기관을 무차별적으로 공격하고 있다는 분석이 제기됐다. AI의 발전으로 인해 사이버 공격 기술이 눈에 띄게 고도화된 것이다. 마이크로소프트(MS), 구글 등 빅테크 기업들은 이들의 동태를 주시하며 경계수위를 높여 가고 있다.

AI 기술, 사이버 무기 됐다

8일 보안업계에 따르면, 글로벌 보안기업 크라우드스트라이크는 최근 250개 이상의 공격 세력과 140개의 새로운 활동 클러스터를 추적한 ‘2025 글로벌 위협 보고서’를 발표했다. 보고서에 따르면 중국과 연계된 해커 조직의 사이버 공작은 전년 대비 150% 증가한 것으로 나타났다. 특히 제조·금융·미디어 등 핵심 산업 분야를 겨냥한 표적 공격은 최대 300%까지 늘었다.

북한의 사이버 공격도 급증세다. 크라우드스트라이크는 북한 연계 조직 ‘페이머스 천리마(Famous Chollima)’가 지난해에만 300건이 넘는 공격을 감행한 정황을 포착했다고 밝혔다. 이 가운데 40%는 내부자 권한을 악용한 방식이었다. 정상적인 직원으로 위장해 기업 시스템에 접근한 뒤 악의적인 활동을 수행하는 교묘한 방식으로 보안 체계를 우회한 것이다.

보고서는 AI를 결합한 사회공학적 공격, 특히 보이스피싱 기법이 급증하고 있다고 지적했다. AI를 활용한 보이스피싱, 사칭 메일 등은 지난해 하반기에만 442% 증가했으며, 악성코드 없이도 자격 증명을 탈취하는 등의 수법이 다수 포착됐다. 애덤 마이어스 크라우드스트라이크 공격 대응 작전 총괄은 “AI 기반 전술의 급속한 무기화는 보안 접근 방식을 재고하게 만들고 있다”며 “공격 세력은 신원 정보를 탈취하고, 여러 도메인을 넘나드는 방식으로 기존 보안 체계를 압도하고 있다”고 말했다.

AI 어떻게 활용했나

북한·중국 해커들이 AI를 적극적으로 활용한다는 사실은 산업계 전반에 이미 공공연하게 알려져 있다. 지난해 MS는 북한 정찰총국 연계 해커 조직 '에메랄드 슬릿(Emerald Sleet)'이 대형언어모델(LLM)을 사용해 해킹 활동을 고도화하고 있다는 사실을 탐지했다. 이 집단은 일명 ‘킴수키(Kimsuky)’라 불리며 악명을 떨친 곳으로, 킴수키 이외에도 ‘탈륨’, ‘벨벳’, ‘천리마’ 등의 이름으로 활동한 것으로 알려졌다. 이 밖에도 러시아 군사정보기관과 연결된 '숲의 눈보라(Forest Blizzard)', 이란 혁명수비대의 '진홍빛 모래바람(Crimson Sandstorm)', 중국의 '숯 태풍(Charcoal Typhoon)' 등이 사이버 공격에 AI 기술을 활용한 것으로 확인됐다.

북한 해커들은 평판이 좋은 학술 기관이나 NGO를 사칭해 특정인을 목표로 하는 피싱 공격인 ‘스피어 피싱’을 벌였다. 북한에 대한 지식을 가진 개인들에게 메일을 보낼 때 오픈AI의 LLM을 활용해 피해자가 답장을 보내도록 유인했다는 것이다. 또한 이란 해커들은 부비트랩이 설치된 웹사이트에 저명한 페미니스트를 유인하기 위해 LLM을 사용했고, 중국 해커들은 경쟁 관계에 있는 정보기관을 견제하거나 사이버 보안 문제, 특정 인사에 대한 질문을 할 때 LLM을 시험했다.

MS는 해커들의 자사 AI 툴 사용이 아직은 초기 단계라고 판단했다. MS는 “해커 집단들의 챗GPT 이용 사실을 감지하고, 이들의 사이트 접근을 차단했다”며 “이들이 새로운 공격 방법을 찾아냈다는 증거는 아직 발견되지 않았다"고 설명했다. 이어 "해커들도 일반 컴퓨터 사용자들처럼 생산성을 높이는 데 오픈AI를 사용한 것”이라고 덧붙였다.

구글의 '경계 태세'

AI 기술의 발전으로 인해 보안 위협이 가중되는 가운데, 기업들의 위기감 역시 가중되는 추세다. 일례로 구글의 경우, 보안 이슈에 민감한 클라우드 컴퓨팅 사업을 중심으로 경계를 강화하고 있다. 지난달 루크 맥나마라 구글 위협 인텔리전스 그룹 부수석 애널리스트는 서울 강남구 구글코리아에서 열린 '구글 클라우드 보안의 날' 행사에서 북한, 중국 등이 AI를 활용한 사이버 공격을 늘리고 있다고 분석했다. 그는 "사이버 공격자들은 AI를 활용해 보안 취약점을 분석하고, 악성 코드 및 스크립트를 더 빠르게 생성하고, 설득력 있는 피싱 이메일을 자동으로 만들어내고 있다"며 "고도로 자동화된 사이버 공격이 대규모로 실행될 가능성이 높아졌다는 의미"라고 설명했다.

맥나마라 애널리스트는 "구글 클라우드는 AI 기반 보안 솔루션의 중요성을 강조하며 AI를 활용한 위협 탐지 기능을 강화해 고객 데이터를 보호하고 있다"고 밝혔다. 이어 "랜섬웨어와 제로데이 공격 등 고도화된 위협에 대비하기 위해 조사 결과를 공유하고, 구체적인 기술과 전략을 한국의 기관 및 기업과 협력해 제공할 계획"이라고 말했다.

구글은 자체적인 대응 방안을 마련하는 것을 넘어 인수합병(M&A)을 통한 보안 역량 강화에도 힘을 싣고 있다. 지난달 구글은 보도자료를 통해 사이버보안 스타트업 위즈(Wiz)를 320억 달러(46조5,000억원)에 인수한다고 밝혔다. 인수 배경에 대해 구글은 "(이번 인수는) 인공지능(AI) 시대에 빠르게 성장하는 2개의 큰 트렌드인 개선된 클라우드 보안과 '멀티 클라우드' 활용 능력을 가속하기 위한 구글 클라우드의 투자를 의미한다"고 설명했다. 뉴욕에 본사를 둔 위즈는 클라우드에 저장된 대규모 데이터에서 보안 위험을 찾아내 제거해 주는 서비스를 제공하고 있다.