세계 최초 LLM 기반 악성코드 등장…인공지능 기술의 무기화 본격화

LLM을 악성코드 내부에 직접 통합해 명령어를 실시간 생성하는 방식…기존 시그니처 기반 탐지 무력화

러시아 연계 해킹조직 ‘APT28’이 거대언어모델(LLM)을 직접 통합한 악성코드 ‘LameHug’를 활용한 것으로 드러났다. 이는 인공지능 기술이 사이버 공격에 본격적으로 활용된 첫 사례로, 사이버보안 업계에 큰 충격을 주고 있다.

우크라이나 국가사이버보안센터(CERT-UA)는 지난 7월 10일, 고위 공무원들을 겨냥한 피싱 공격을 분석하던 중 해당 악성코드를 발견했다. 공격자는 정부기관을 사칭해 ‘부처 공식 문서’로 위장한 ZIP 파일을 이메일에 첨부해 유포했으며, 압축파일 내부에는 파이썬 기반의 실행파일들이 포함돼 있었다.

LameHug는 실행 즉시 인공지능 API를 호출해 시스템 명령어를 실시간으로 생성한다. 이때 활용된 AI 모델은 중국 알리바바가 개발한 오픈소스 대형언어모델 ‘Qwen-2.5-Coder-32B-Instruct’로, 주로 코딩 자동화에 최적화된 모델이다. 공격자는 이 모델에 “시스템 정보를 수집하고 문서 파일을 찾아 복사하라”는 자연어 명령을 입력하고, AI가 반환한 명령어를 즉시 실행함으로써 정적 분석을 우회하고 시스템 정보를 탈취한다.

이 악성코드는 윈도우 시스템에서 하드웨어 정보, 실행 중인 프로세스, 서비스 목록, 네트워크 연결 정보 등을 수집하고, 사용자의 ‘문서’, ‘다운로드’, ‘바탕화면’ 폴더 내 MS 오피스 문서, PDF, 텍스트 파일 등을 탐색해 특정 폴더에 복사한다. 이후 수집한 정보는 SFTP 또는 HTTP POST 방식으로 외부 서버로 전송된다.

보안 분석에 따르면 LameHug는 최소 두 가지 이상의 변형 버전이 존재하며, 데이터 탈취 방식이나 실행 흐름이 다르다. 이는 악성코드가 여전히 개발 중이며, AI 명령어 생성을 통해 향후 더 정교한 공격으로 발전할 가능성이 있음을 시사한다.

CERT-UA는 이번 공격의 배후로 러시아 정보기관과 연계된 해킹조직 APT28을 지목했다. APT28은 Fancy Bear, STRONTIUM 등으로도 알려져 있으며, 과거 수년간 유럽과 미국의 정부기관, 언론, 국방 산업을 대상으로 다양한 공격을 수행해온 조직이다. CERT-UA는 공격 경로, 이메일 사용 방식, 인프라 구조, AI 활용 양상 등이 APT28의 기존 공격 방식과 유사하다고 판단했다.

보안 전문가들은 이번 사례를 통해 인공지능이 단순한 보조 수단을 넘어, 공격 자동화의 중심 기술로 활용되고 있다고 분석했다. 특히 LLM을 악성코드 내부에 직접 통합해 명령어를 실시간 생성하는 방식은 기존의 시그니처 기반 탐지를 무력화하고, 탐지 회피 능력을 극대화할 수 있다는 점에서 주목받고 있다.

전문가들은 이에 대응하기 위해 다음과 같은 보안 전략이 필요하다고 강조했다. 첫째, 조직 내 시스템이 외부 AI 플랫폼과 통신하는 이례적인 API 호출을 실시간 탐지해야 한다. 둘째, 명령어 실행 기반의 이상 행위를 탐지할 수 있는 행위 기반 탐지 체계를 강화해야 한다. 셋째, 첨부파일 보안 검사 및 다단계 인증 등 이메일 보안 수준을 높이고, 마지막으로, 최소 권한 정책을 통해 시스템 접근 범위를 제한하는 것이 중요하다고 조언했다.

보안 전문가들은 LameHug가 아직은 시스템 정보 수집과 문서 탈취 수준에 머물러 있지만, AI가 사이버 공격의 전 단계에 통합될 가능성이 열렸다고 경고했다. 향후에는 AI가 권한 상승, 수평 이동, 자동화된 취약점 분석 등 더욱 정교한 공격에 활용될 수 있다는 것이다.

LameHug는 단순한 신종 악성코드가 아닌, 사이버 공격 패러다임이 근본적으로 변화하고 있음을 보여주는 신호탄이다. 인공지능 기술의 무기화가 본격화된 지금, 기업과 기관은 기존 보안 체계의 한계를 인식하고, AI 기반 공격에 대비한 새로운 탐지 및 대응 체계를 시급히 마련해야 할 시점이다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★