북한 배후 추정 해킹그룹이 생성형 인공지능(AI)으로 만든 딥페이크 이미지로 사이버 공격에 나선 사례가 국내에서 처음 확인됐다.
15일 보안 전문기업 지니언스의 시큐리티 센터(GSC) 보고서에 따르면 지난 7월 북한 배후 추정 김수키 그룹이 AI로 합성한 이미지를 활용해 군 관계 기관에 스피어 피싱(특정 개인·조직을 표적화한 사이버 공격)을 시도했다.
김수키 그룹은 군무원 신분증의 시안을 검토해 달라고 악성 파일을 심은 피싱 메일을 보내는 수법을 썼다. 이때 첨부한 시안이 AI로 합성한 딥페이크 이미지였다.
군 공무원증은 법적으로 엄격히 보호되는 공적 신분증이기 때문에 실제와 동일하거나 유사한 형태로 제작해 사본을 만드는 것은 위법 행위에 해당한다. 때문에 챗GPT에 신분증 사본 제작을 요청하면 불가능하다고 응답한다.
북한 배후 추정 사이버 공격자들은 AI 모델을 설득하는 수법으로 딥페이스 이미지를 손에 넣었을 것으로 추정된다. “실제 군 공무원증 복제가 아니라 합법적인 목적의 시안 작성 또는 샘플 용도의 디자인 제작”이라고 AI를 타이르는 것이다.
이들은 또 이메일 발신자가 실제 군 기관에서 일하는 것처럼 보이게 하기 위해 공식 도메인 주소 ‘mil.kr’과 유사한 ‘mli.kr’을 써서 눈속임을 시도했다.
미국의 생성형 AI 모델 클로드 제작사 앤트로픽 역시 지난달 말 발간한 보안 보고서에서 북한 사이버 공격자들의 AI 악용 사례를 공개했다.
앤트로픽 보고서에 따르면 북 해커 그룹은 AI를 활용해 정교하게 조작한 가상 신원을 만들고 가짜 요원이 해외 정보기술(IT) 업계 구직 과정에서 기술 평가를 수행하도록 했다.
채용 이후 실제 기술 업무 또한 AI를 통해 처리한 정황이 드러나기도 했다.
보고서는 “이러한 활동은 국제 제재를 회피하면서 동시에 북한 정권의 외화 획득을 목적으로 정교하게 설계된 것”이라고 분석했다.
AI 서비스가 없었다면 프로그래밍 역량이 부족하거나 영어 기반의 전문적 의사소통 능력이 제한돼 기술 면접을 통과하거나 업무를 지속하기 어려웠을 텐데 AI가 북한 배후 해킹 그룹의 ‘역량’을 향상시켜주고 있다는 분석이다.
지니언스 시큐리티 센터에 따르면 김수키 그룹은 피싱 메일을 보내면서 AI가 메일을 대신 관리해 주는 기능인 것처럼 제목을 달아 수신자를 현혹하는 등 최근 AI를 테마로 한 공격을 늘리고 있다.
센터는 “AI 서비스는 업무 생산성을 높이는 강력한 도구이지만 동시에 국가 안보 차원의 사이버 위협에 악용될 수 있는 잠재적 위험 요소”라며 IT 조직 내 채용·업무·운영 전반에서 AI 악용 가능성을 고려한 대책 마련이 필요하다고 제언했다.
구정하 기자 goo@kmib.co.kr