본문으로 건너뛰기
J
피드

북한 해커가 AI로 공격 자동화…악성코드부터 공급망 침투까지 빨라지는 중

security 약 8분
tags
#ai-security#north-korea#supply-chain#malware#zero-trust
vote
0
댓글
북마크

북한 해킹 조직이 AI를 피싱 보조 도구 수준이 아니라 취약점 탐색, 악성코드 생성, 공격 검증 자동화에 쓰기 시작했다는 보안 업계 분석이 나왔다. 카스퍼스키, 구글 위협인텔리전스그룹, 국가정보원 보고서가 언급되며, AI가 북한 해커의 인력·언어·코딩 한계를 메우고 공격 규모를 키우는 구조가 문제로 지적됐다.

  • 1

    카스퍼스키는 김수키 백도어 ‘헬로도어’에서 LLM이 코드 작성에 관여한 정황을 확인했다고 밝힘

  • 2

    구글 위협인텔리전스그룹은 APT45가 프롬프트 반복 입력으로 취약점 탐색과 공격 코드 검증을 수행한다고 분석함

  • 3

    김수키의 ‘애플시드’ 악성코드는 정부 공인 전자인증서 저장 정보를 탈취하는 기능이 포함된 것으로 전해짐

  • 4

    국정원 국가사이버안보센터는 북한이 지난해 2조원이 넘는 가상자산을 탈취한 것으로 집계함

북한 해킹 조직이 AI를 ‘보조 도구’가 아니라 공격 엔진으로 쓰기 시작했다는 얘기

  • 보안 업계는 북한발 해킹 활동이 이미 AI 기반 자동화 단계에 들어갔다고 보고 있음

    • 예전에는 AI가 피싱 문구 다듬기나 번역 보조 정도로 보였다면, 이제는 취약점 찾기와 악성코드 생성 쪽으로 내려오고 있음
    • 소수 정예 해커 집단이 AI로 생산성을 끌어올리면, 인원은 적어도 공격 규모는 대형 조직처럼 커질 수 있다는 우려가 나옴

  • 카스퍼스키는 북한 해킹 그룹 ‘김수키’가 사용한 백도어 ‘헬로도어’에서 LLM 개입 정황을 확인했다고 밝힘

    • 코드 안에 이모티콘이 들어간 주석, 비정형 문법 오류 같은 흔적이 발견됐다고 함
    • 이게 결정적 증거라고 단정하긴 어렵지만, 악성코드 작성 과정 일부가 인간이 아니라 AI로 생성됐을 가능성을 시사함

  • 구글 위협인텔리전스그룹은 북한 연계 그룹 ‘APT45’가 AI를 공격 무기화하고 있다고 분석함

    • 프롬프트를 대량으로 반복 입력해 소프트웨어 취약점을 찾고, 공격 코드가 실제로 실행 가능한지 검증하는 식임
    • 원래 수개월 걸릴 수 있던 분석·검증 작업이 자동화되면, 패치 전 취약점인 제로데이 공격에도 AI가 들어갈 수 있음

⚠️주의

> 이건 “AI가 해커를 도와준다” 정도의 가벼운 얘기가 아님. 취약점 탐색, 공격 코드 검증, 악성코드 생성의 반복 비용이 내려가면 방어팀이 버텨야 하는 공격량 자체가 달라짐.

AI가 북한 해커의 약점을 메우는 방식

  • 기사에서 가장 중요한 포인트는 AI가 북한 해킹 조직의 구조적 약점을 보완한다는 점임

    • 낮은 코딩 역량은 자동 코드 생성으로 어느 정도 메워짐
    • 북한식 표현이나 어색한 문장 같은 언어 장벽은 자연스러운 피싱 메시지 생성으로 줄어듦

  • 이 변화는 공격자의 단위 생산성을 크게 올림

    • 적은 인력이 더 많은 표적을 동시에 건드릴 수 있음
    • 취약점 후보를 찾고, 공격 가능성을 검증하고, 피싱 메시지를 다듬는 반복 작업을 AI가 빠르게 처리할 수 있기 때문임

  • 공격 방식도 개인 표적형 스피어피싱에서 더 넓은 공급망 공격으로 확장되는 분위기임

    • 한 사람을 오래 속이는 방식도 여전히 위험하지만, 이제는 많은 사용자가 의존하는 라이브러리나 인증 체계를 노리는 쪽으로 커지고 있음
    • 개발자 입장에서는 “내 서비스만 잘 막으면 됨”이 아니라 “내가 가져다 쓰는 것들도 계속 봐야 함”이 됨

인증서와 오픈소스 공급망이 특히 위험해지는 이유

  • 김수키가 활용하는 ‘애플시드’ 악성코드에는 정부 공무원이 쓰는 정부 공인 전자인증서 저장 정보를 탈취하는 기능이 포함된 것으로 전해짐

    • 인증서가 털리면 내부 행정망 침투 가능성이 열릴 수 있음
    • 계정 비밀번호 하나가 아니라 신뢰 체계 자체가 공격 표면이 되는 셈이라 훨씬 골치 아픔

  • 지난달에는 북한 배후로 추정되는 조직이 오픈소스 라이브러리 ‘악시오스’ 침투 공격을 시도한 것으로 전해짐

    • 악시오스는 전 세계 주간 다운로드가 약 1억 건 규모인 라이브러리로 언급됨
    • 이런 라이브러리에 악성 코드가 섞이면, 공격자는 수많은 서비스와 개발 환경으로 한 번에 퍼질 수 있음

  • 이 과정에서 오픈AI까지 영향을 받았다는 내용도 나옴

    • 주요 제품의 인증서와 접근 권한이 있는 워크플로우에 침투 흔적이 발견됐다고 함
    • 다만 당시 데이터 유출 단계까지는 가지 않은 것으로 알려짐

중요

> 주간 다운로드 1억 건짜리 라이브러리 침투는 그냥 패키지 하나 문제가 아님. 성공하면 CI, 배포, 인증서, 클라우드 권한까지 줄줄이 엮일 수 있는 공급망 리스크임.

사이버 공격이 점점 ‘산업화’되는 중

  • AI 자동화는 공격 비용을 낮추고, 동시에 공격 규모를 키움

    • 취약점 탐색, 피싱 생성, 코드 변형, 실행 검증이 빨라지면 같은 인력으로 더 많은 캠페인을 돌릴 수 있음
    • 공격자가 실패를 싸게 반복할 수 있다는 게 방어자에게는 제일 피곤한 부분임

  • 수익 구조도 이미 커져 있음

    • 국가정보원 국가사이버안보센터 연례 보고서에 따르면 북한은 지난해 오픈소스 공급망 침투, 해외 IT 기업 위장 취업 등을 통해 2조원이 넘는 가상자산을 탈취한 것으로 집계됨
    • 이 돈은 다시 공격 도구 고도화, 조직 유지, 인력 양성에 재투자되는 구조로 이어진다고 분석됨

  • 북한은 외부 AI를 쓰는 단계에서 자체 모델 개발 움직임까지 보이고 있음

    • 김일성종합대학 연구팀은 챗GPT와 라마 구조를 분석해 학습 효율을 개선한 연구를 발표했다고 함
    • 산하 AI기술연구소는 자체 AI 모델 ‘룡마 1.0’을 개발 중인 것으로 알려짐

개발팀이 이 뉴스에서 바로 가져가야 할 것

  • 오픈소스 의존성 관리는 이제 보안팀만의 일이 아님

    • 패키지 업데이트, 잠금 파일, 서명 검증, 배포 워크플로우 권한을 개발팀이 같이 봐야 함
    • 특히 인기 패키지일수록 공격자가 노릴 유인이 크다는 점을 잊으면 안 됨

  • 인증서와 토큰은 “있으면 편한 비밀값”이 아니라 핵심 공격 표면임

    • CI 워크플로우에 들어간 접근 권한, 제품 인증서, 배포 키가 털리면 코드 유출보다 더 위험한 상황이 나올 수 있음
    • 최소 권한, 짧은 만료 시간, 접근 로그 모니터링이 기본값이 돼야 함

  • 황석진 동국대 교수는 제로 트러스트 기반의 종합 안보 대책이 시급하다고 지적함

    • 제한된 자원과 제재 환경에서 성과를 극대화하려는 북한 입장에서는 AI가 딱 맞는 증폭 장치가 될 수 있음
    • 정부와 주요 시스템을 직접 위협할 수 있는 수준이라, 방어 체계도 “침투 이후”를 전제로 설계해야 함

기술 맥락

  • 여기서 AI가 무서운 이유는 천재 해커를 만들어서가 아니에요. 반복 작업의 단가를 확 낮춰서, 취약점 후보를 많이 던지고 공격 코드를 빠르게 고치고 피싱 문장을 자연스럽게 다듬는 루프가 빨라지기 때문이에요.

  • 공급망 공격이 특히 까다로운 건 개발자가 이미 신뢰하는 경로를 타고 들어오기 때문이에요. 악시오스처럼 다운로드가 큰 라이브러리가 표적이 되면, 공격자는 개별 회사를 하나씩 뚫지 않아도 많은 서비스의 빌드와 배포 흐름에 접근할 기회를 얻게 돼요.

  • 인증서 탈취가 위험한 이유도 비슷해요. 비밀번호는 바꾸면 끝나는 경우가 많지만, 인증서와 배포 권한은 시스템이 “정상 주체”라고 믿게 만드는 신뢰의 근거라서 털렸을 때 피해 반경이 훨씬 커져요.

  • 그래서 제로 트러스트가 여기서 나와요. 내부망이나 정상 워크플로우라고 해서 자동으로 믿지 않고, 누가 어떤 권한으로 무엇을 했는지 계속 검증해야 공격자가 한 번 들어온 뒤 옆으로 퍼지는 걸 줄일 수 있거든요.

AI 보안 이슈가 이제 ‘딥페이크 피싱 조심’ 수준을 넘어섰음. 개발팀 입장에서는 오픈소스 공급망, 인증서 관리, CI 워크플로우 권한, 제로 트러스트를 한 묶음으로 봐야 할 타이밍임.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

한양대 에리카와 네이버클라우드, 클라우드·보안·AI 인재 키우는 산학협력 체결

한양대 에리카가 네이버클라우드와 첨단 분야 지역인재 양성과 글로벌 산학협력을 위한 업무협약을 맺었다. 협력 범위는 클라우드, 사이버보안, 블록체인, 개인정보보호, 인공지능(AI), 디지털 전환(DX) 교육·연구 기반 구축까지 포함된다.

security

악성 npm 패키지가 AI 개발도구의 지침 파일과 MCP까지 노리기 시작함

이스트시큐리티가 웹과 탈중앙화금융 개발자를 겨냥한 악성 npm 패키지 캠페인을 포착했어. 공격자는 유명 웹3 도구를 사칭하는 데서 그치지 않고, AI 에이전트가 읽는 프로젝트 지침 파일과 MCP 기반 외부 도구 호출까지 공격 경로로 삼으려 했어.

security

금융권, 앤트로픽 미토스가 찾은 오픈소스 취약점에 긴급 점검 들어감

앤트로픽의 AI 모델 클로드 미토스가 1000개 넘는 오픈소스에서 대량의 취약점 후보를 찾아냈고, 그중 일부가 실제 취약점으로 검증돼 공개됐어. 금융당국은 nginx, wolfSSL, FreeRDP, Ghost 같은 널리 쓰이는 구성요소를 중심으로 금융권에 긴급 자산 점검과 패치 적용을 권고했어.

security

애플이 양자 내성 암호화 검증 코드를 공개했다, 핵심은 수학적 증명

애플이 corecrypto 라이브러리의 포스트 양자 암호화 구현과 검증 코드를 GitHub에 공개했다. ML-KEM, ML-DSA 구현과 형식 검증 접근을 공개해 보안 연구자들이 직접 검토할 수 있게 했고, 이 기술은 25억 대 이상 활성 기기에서 쓰이는 암호화 기반과 연결된다.

security

라라벨 번역 패키지 태그가 통째로 바뀌었다, 개발자 비밀값 털리는 공급망 공격

전 세계 라라벨 개발자가 쓰는 Laravel-Lang 패키지가 공격을 받아 Git 태그가 악성 버전을 가리키도록 바뀌었다. 5월 22일 약 90분 동안 4개 저장소의 태그가 교체됐고, 감염된 패키지는 AWS 키, GitHub 토큰, Stripe 시크릿, 암호화폐 지갑 복구 구문, SSH 개인키 등을 노렸다.