북한이 배후인 해커 조직이 해킹을 위한 악성코드 개발에 인공지능(AI) 모델을 활용한 정황이 포착됐다.

자율적으로 보안 시스템 취약점을 찾을 수 있는 성능을 구현한 AI 모델들이 줄줄이 나오는 가운데, AI로 무장한 해커들의 사이버 공격에 대한 우려가 커지고 있다.

14일 글로벌 사이버 보안기업 카스퍼스키는 북한 해커 조직인 ‘김수키(Kimsuky)’의 최신 공격 전술을 분석한 보고서에서 “최근 수개월간 김수키의 활동을 분석한 결과, 신종 악성코드 헬로도어(HelloDoor) 내부에서 이모지(Emoji)가 포함된 주석과 문법적인 오타가 발견됐다”고 밝혔다. 카스퍼스키는 “이는 대형언어모델(LLM)이 코드 작성 과정에 관여한 정황”이라며 “북한 해커들이 AI 기술을 사이버 공격에 본격적으로 활용하고 있다는 의미”라고 설명했다.

김수키의 AI활용은 한국 정부와 기업에 대한 북한의 사이버 공격이 고도화된다는 것을 의미한다. 앤스로픽이 올해 초 공개한 AI모델 미토스는 공격자 개입 없이 시스템 취약점을 찾아내고 해킹 시나리오를 설계하는 역량을 갖췄다. 이 때문에 각국 정부들이 앞다퉈 대응책 마련에 나서기도 했다. 카스퍼스키코리아 이효은 지사장은 “김수키는 단순한 악성코드 업데이트를 넘어, AI 코드 생성 도구 활용과 정상 소프트웨어 악용이라는 두 가지 축으로 공격의 정교함을 높이고 있다”며 “특히 기업 환경에서 광범위하게 쓰이는 도구가 공격 채널로 전용된 만큼, 행위 기반 탐지 체계 구축과 정기적인 위협 인텔리전스 업데이트가 그 어느 때보다 중요하다”라고 말했다.

보고서에 따르면 김수키는 한국 정부의 전자인증서 체계를 표적으로 삼고 있다. 김수키가 사용하는 애플시드(AppleSeed) 악성코드에 정부 공인 전자인증서(GPKI) 저장 디렉토리를 수집하는 기능이 탑재된 것으로 확인됐다. 보안업계 한 관계자는 “해커들이 ‘타깃’을 공무원으로 정했다는 의미”라고 설명했다. 공무원이 정부 시스템 접속 때 사용하는 인증서가 유출될 경우, 공무원 계정을 도용해 정부 내부 시스템에 접근할 수 있다.

북한 배후 해킹 조직의 AI 활용은 김수키 뿐만이 아니다. 구글 위협인텔리전스그룹(GTIG)이 지난 11일 공개한 보고서에는 북한의 또 다른 해킹 조직인 APT45가 AI를 활용해 수천개의 프롬프트를 반복 전송한 정황이 공개됐다. 취약점 분석과 공격 코드 검증을 자동화하는 징후라는게 GTIG의 설명이다.

사이버 보안 업계에선 AI 활용 사이버 공격은 핵무기에 빗댈 위기감이라는 우려가 나온다. 세계 최대 사이버 보안 기업인 팔로알토네트웍스의 리 클라리치 최고기술책임자(CTO)는 13일 게시한 블로그 글에서 “AI 기반 공격이 뉴노멀(새로운 표준)이 되기 전에 공격자보다 앞서 나갈 수 있는 시간은 3~5개월 남짓”이라며 “임박한 취약점 공세에 대한 대응이 시급하다”고 밝혔다. 팔로알토네트웍스는 “앤스로픽의 미토스, 클로드 오퍼스 4.7, 오픈AI의 GPT-5.5-사이버 등 최신 모델을 테스트한 결과, 이 모델들이 취약점을 탐지하고 치명적인 공격 경로로 전환하는 데 예상보다 훨씬 뛰어난 성능을 보였다”고 밝혔다.

AI 활용 해킹 공격에 대비해 보안 패러다임 전환을 서둘러야 한다는 목소리가 나온다. 이승경 안랩 인공지능개발실 실장은 “AI 기반 공격에 대응 역량을 점검하고, 방어 체계 역시 AI를 활용하는 전환을 연구해야 한다”고 강조했다. 염흥열 순천향대 정보보호학과 명예교수는 “해커들이 아직 취약점을 발견하지 못해 대응 수단이 없는 제로데이(zero-day) 공격의 빈도와 성공률을 높이려 AI를 활용할 수 있다”며 “북한이 미토스 같은 보안 특화 AI 모델을 자체 개발하거나 접근할 수 있는 가능성도 배제할 수 없다. 국가 차원에서 사이버 안전망을 구축해야 한다”고 말했다.