구글 “AI 활용 사이버 공격 확산…북한, 중국, 이란 등 57개국 APT 그룹이 악용 중”

GTIG “구글 AI 서비스 제미니 악용해 해킹 기술 연구, 코드 오류 해결, 공격에 사용할 콘텐츠 제작 등 다양한 방식으로 AI 활용”

구글 위협 인텔리전스 그룹(GTIG, Google Threat Intelligence Group)이 최근 발표한 보고서에 따르면, 중국, 이란, 북한, 러시아를 포함한 57개 이상의 국가 지원 해킹 그룹(APT, Advanced Persistent Threat)이 인공지능(AI) 기술을 활용해 사이버 공격과 정보 작전을 강화하고 있는 것으로 나타났다. 특히, 이들은 구글의 AI 서비스인 제미니(Gemini)를 악용해 해킹 기술을 연구하고, 코드 오류를 해결하며, 공격에 사용할 콘텐츠를 제작하는 등 다양한 방식으로 AI를 활용하고 있다.

GTIG는 보고서를 통해 "현재 APT 그룹들은 AI를 주로 연구, 코드 문제 해결, 콘텐츠 생성 및 지역화에 사용하고 있으며, 아직 새로운 공격 기법을 개발하는 수준에는 도달하지 않았다"고 밝혔다. 하지만 AI 기술이 공격의 여러 단계에서 활용되면서 사이버 위협이 점점 더 정교해지고 있어 보안 업계의 우려가 커지고 있다.

■이란 APT 그룹, AI 악용에 가장 적극적

이란의 해킹 조직들은 제미니를 가장 적극적으로 활용하는 것으로 확인됐다. 특히 APT42(일명 차밍 키튼(Charming Kitten) 또는 민트 샌드스톰(Mint Sandstorm))은 이란 해커들의 제미니 사용량 중 30% 이상을 차지하며, AI를 이용해 피싱 캠페인을 제작하고, 국방 전문가 및 기관을 대상으로 정찰 활동을 수행하며, 사이버 보안 관련 콘텐츠를 생산하고 있다.

APT42는 오랫동안 정교한 사회공학적 공격을 수행해온 것으로 유명하다. 이들은 기자나 행사 주최자로 위장해 표적 네트워크에 침투하는 방식으로 NGO, 언론사, 학계, 법률 서비스 및 인권 운동가들을 공격해왔다. 최근에는 군사 및 무기 시스템 연구, 중국 방위 산업의 전략적 동향 분석, 미국 항공우주 시스템 연구에도 AI를 활용하고 있는 것으로 드러났다.

■중국 해킹 조직, 정찰 및 침투 기술 강화

중국의 APT 그룹들도 AI를 활용해 정찰 활동을 수행하고, 코드를 수정하며, 피해자 네트워크에 보다 깊숙이 침투하는 방법을 연구하고 있는 것으로 밝혀졌다. 이들은 AI를 활용해 네트워크 내부에서 횡적 이동(lateral movement), 권한 상승(privilege escalation), 데이터 유출(data exfiltration), 탐지 회피(detection evasion) 등의 기술을 개선하고 있다.

■러시아·북한 해킹 조직의 AI 활용 방식

러시아 APT 그룹들은 AI를 기존 악성코드를 다른 프로그래밍 언어로 변환하거나, 암호화 계층을 추가하는 데 주로 활용하고 있다. 이는 기존 악성코드의 탐지를 회피하고, 새로운 변종을 생성하는 데 도움을 준다.

북한의 해킹 조직들은 AI를 기반 시설 및 호스팅 제공업체 조사에 활용하는 것으로 나타났다. 특히 일부 북한 해커들은 AI를 사용해 위장 취업을 시도하는 정황이 포착됐다. 이들은 제미니를 이용해 가짜 입사지원서 및 제안서를 작성하고, 특정 직업의 평균 연봉을 조사하며, 링크드인(LinkedIn)에서 직무 정보를 수집하는 등의 활동을 수행했다. 이는 북한 정부가 서방 기업에 비밀리에 IT 노동자를 침투시키려는 전략과 연관된 것으로 보인다.

■AI 악용 증가… 불법 AI 도구도 등장

한편, 보고서는 AI의 악용이 확산됨에 따라 사이버 범죄자들 사이에서 불법적인 대형 언어 모델(LLM, Large Language Model)이 등장하고 있다는 점도 지적했다. 대표적인 사례로는 웜GPT(WormGPT), 울프GPT(WolfGPT), 이스케이프GPT(EscapeGPT), 프로드GPT(FraudGPT), 고스트GPT(GhostGPT) 등이 있다. 이들은 피싱 이메일을 자동으로 생성하고, 기업 이메일 침해(BEC, Business Email Compromise) 공격을 위한 템플릿을 제작하며, 가짜 웹사이트를 설계하는 등의 기능을 제공하는 것으로 알려졌다.

이에 보안 전문가들은 AI가 해킹 기술의 효율성을 크게 높이고 있으며, 이에 대응하기 위한 산업 및 정부 차원의 협력이 필수적이라고 강조했다. 다중 요소 인증(MFA) 도입, 정기적인 보안 패치 적용, 네트워크 활동의 지속적인 모니터링 등 기본적인 보안 조치를 강화해야 한다는 점도 지적했다.

또한, AI를 활용한 방어 시스템을 개발하고 위협 인텔리전스 공유를 활성화하는 것이 중요하다고 강조했다. 특히, AI 기반 탐지 기술을 활용해 악성코드 변종을 신속하게 식별하고, 공격 패턴을 분석하는 것이 효과적인 대응책이 될 수 있다고 설명했다.

AI 기술이 발전함에 따라 사이버 공격과 방어 모두에서 활용도가 높아지고 있으며, 이에 따라 보안 전략 역시 빠르게 변화해야 할 시점이다.

해당 보고서는 데일리시큐 자료실에서도 다운로드 가능하다.

[ISDP 2025] 2월 11일 전반기 최대 정보보호&데이터 보안 컨퍼런스&전시회 개최(7시간 보안교육)

-주최: 데일리시큐

-후원기관: 한국인터넷진흥원, 한국정보보호산업협회

-일시: 2025년 2월 11일 화요일 오전 9시~오후 5시

-장소: 서울 삼성동 코엑스 3층 컨퍼런스룸E(1~6 전관) 및 로비

-참석인원: 개인정보보호 및 정보보안 실무자 1,000여 명

-참가비: 무료(현업 보안실무자에 한해 참석가능/이외 참석불가)

-점심 및 주차: 지원하지 않습니다.

-보안교육이수: 보안교육 7시간(CPPG, CISSP 등 자격증도 7시간 인정)