북한 해킹 그룹이 한국의 제조업, 방산, 반도체 산업을 주요 타깃
“보안 방어자들도 AI 활용해 탐지 속도 높이는 것 중요해”

구글 클라우드는 3월 19일 미디어 브리핑을 통해 글로벌 사이버 위협 동향과 클라우드 보안 침해 사례, 국가 지원 해킹 그룹의 활동, 그리고 공격자들의 생성형 AI 활용 방식 등을 발표했다. 이번 브리핑에서는 최근 사이버 공격의 주요 특징과 기업이 대비해야 할 보안 전략에 대한 분석이 집중적으로 다뤄졌다. 이번 브리핑은 루크 맥나마라(Luke McNamara) 구글 위협 인텔리전스 그룹(Google Threat Intelligence Group) 부수석이 진행했다.
◆탐지를 회피하는 위협 행위자들
루크 부수석은 공격자들이 탐지를 피하기 위해 더욱 정교한 전략을 사용하고 있다고 밝혔다. 특히 기존 보안 탐지 시스템의 가시성에서 벗어나기 위한 시도가 증가하고 있으며, 공격 방식 또한 다양해지고 있다. 최근 공격자들이 주로 노리는 경로는 VPN, 라우터, 이메일 보안 게이트웨이 등 엣지 디바이스이며, SMS 기반 피싱과 메시징 애플리케이션을 이용한 공격, QR코드를 활용한 피싱, 기업 임직원을 타깃으로 한 공격 등이 늘어나고 있다.
또한, 범죄자, 해킹 그룹, 국가 지원 공격자 간의 경계가 모호해지고 있는 점도 주목할 부분이다. 사이버 범죄 집단이 초기 침입권을 확보한 후 다른 국가 지원 해커나 조직에 판매하는 사례가 늘어나면서 공격자의 정체를 특정하기 어려워지고 있다.
◆클라우드 보안 침해 동향
또한 구글 클라우드가 분석한 2024년 4분기 클라우드 보안 침해 사례에 따르면, 탈취된 크리덴셜(자격 증명)이 인포스틸러(정보 탈취형) 악성코드를 통해 수집되어 악용되는 경우가 가장 많았다. 스노우플레이크(Snowflake) 사건에서도 탈취된 크리덴셜이 개인용 시스템에서 유출된 후, 기업용 시스템으로 전파되면서 보안 침해가 확산됐다.
랜섬웨어 공격과 데이터 갈취 사례도 지속적으로 증가하는 추세다. 구글 클라우드에 따르면, 데이터 유출 사이트(DLS)에 게시된 피해 기업의 수가 증가하고 있으며, 새로운 DLS가 계속해서 등장하고 있다. 이는 기존 랜섬웨어 그룹이 사법 조치를 피하기 위해 새로운 브랜드로 재등장하는 현상과도 맞물려 있다.
한국에서 가장 많이 공격받은 산업군으로는 제조업, 금융 서비스, 미디어 및 엔터테인먼트 부문이 꼽혔다. 특히 북한 해킹 그룹이 한국의 제조업, 방산, 반도체 산업을 주요 타깃으로 삼고 있는 것으로 분석됐다.
◆중국과 북한의 해킹그룹 활동
이어 루크 부수석은 중국과 북한이 주도하는 사이버 공격이 점점 더 정교해지고 있다고 경고했다. 특히 제로데이(Zero-day) 공격이 증가하고 있으며, 이는 VPN, 보안 장비, 소프트웨어, 모바일 기기 등 다양한 기술 스택 전반에 걸쳐 조직에 영향을 미치고 있다. 2024년 한 해 동안 전 세계에서 발견된 제로데이 공격 건수는 76건에 달하며, 대부분 국가 지원 해킹 그룹이 수행한 것으로 분석됐다.
중국과 관련된 APT(지능형 지속 공격) 그룹은 특히 엣지 디바이스를 집중적으로 공격하고 있다. VPN, 라우터, 이메일 보안 게이트웨이와 같은 외부 경계 보안 기기가 주요 타깃이며, ORB 네트워크를 활용해 추적을 어렵게 만들고, 기존 시스템 내에서 정당한 소프트웨어를 활용하는 LOTL(Living off the Land) 기법을 적극적으로 활용하고 있다. 또한, 정보 공급망 공격을 통해 주요 IT 기업 및 네트워크 장비 업체를 타깃으로 삼고, 이들을 거점으로 더 많은 조직을 감염시키는 전략을 사용하고 있다.
한편, 북한의 사이버 공격은 주로 금전적 이득을 목표로 하고 있다. 구글 클라우드에 따르면, 북한은 스파이 활동보다는 암호화폐 거래소를 포함한 금융 관련 해킹에 집중하고 있으며, 이를 통해 획득한 자금을 정권 운영에 활용하고 있다. 또한, 북한 IT 인력이 해외에서 프리랜서로 활동하며 수익을 창출하고, 이를 북한으로 송금하는 사례가 발견됐다. 이러한 활동은 글로벌 IT 인력 채용 플랫폼을 이용해 이루어지며, 브로커를 활용해 신원 확인을 우회하는 방식으로 진행된다.
특히 북한 IT 인력이 해고된 후, 자신이 보유한 기업 데이터를 인질로 삼아 협박하는 사례도 발생하고 있어, 기업의 인력 채용 시 철저한 백그라운드 체크가 필요하다는 조언했다.
◆생성형 AI의 사이버 공격 활용 증가
이어 생성형 AI가 사이버 위협 행위자들에 의해 악용되는 사례가 증가하고 있다고 밝혔다. 특히 중국, 북한, 이란의 APT 그룹이 AI를 활용해 정찰, 취약점 연구, 피싱 및 개인정보 탈취, 공격을 위한 텍스트 및 스크립트 생성 등에 활용하고 있는 것으로 분석됐다.
구글의 AI 모델인 제미나이(Gemini)가 공격자들에 의해 활용되고 있는 방식도 언급됐다. 현재까지 완전히 새로운 AI 기반 공격 기법이 등장하지는 않았으나, 기존 공격자의 워크플로우를 최적화하고, 보다 정교한 공격을 수행하는 데 AI가 활용되고 있다. 예를 들어, 특정 기업이나 인물에 대한 정보를 수집하는 정찰 과정, 특정 언어에 대한 번역, 그리고 악성 코드 및 스크립트 작성을 위해 AI가 사용되고 있는 것으로 확인됐다.
보안 방어자들도 AI를 활용하여 탐지 속도를 높이는 것이 중요한 과제로 떠오르고 있다. 공격자들이 AI를 활용해 자동화된 방식으로 사이버 공격을 강화하는 만큼, 방어 측에서도 생성형 AI를 적극적으로 활용해야 한다고 강조했다.
구글 클라우드는 이번 미디어 브리핑을 통해 국가 지원 해킹 그룹의 활동이 점점 더 정교해지고 있으며, 특히 AI와 결합한 공격 방식이 늘어나고 있다고 강조했다. 이에 따라 기업과 보안 전문가들은 기존 보안 체계를 강화하는 것은 물론, AI를 활용한 방어 체계를 구축할 필요가 있다.
또한, 기업들은 탈취된 크리덴셜을 활용한 공격을 막기 위해 다중 인증(MFA)을 활성화하고, 내부 시스템과 클라우드 자산에 대한 접근을 지속적으로 모니터링해야 한다. 북한 IT 인력을 통한 내부 위협에 대비하기 위해 철저한 배경 조사와 모니터링도 필요하다.
구글 클라우드는 앞으로도 위협 행위자들의 동향을 면밀히 분석하고, 보안 대응 기술을 발전시켜 나갈 것이라고 밝혔다. 기업들이 이러한 변화에 대응하기 위해서는 보다 적극적인 보안 전략을 마련해야 하며, 위협 탐지와 대응 속도를 높이는 것이 필수적이라고 강조했다.
[K-CTI 2025] 국내 최대 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최(7시간 교육이수)
-주최: 데일리시큐
-일시 2025년 4월 15일(화) / 오전 9시~오후 5시
-장소: 한국과학기술회관 국제회의실 및 로비
-인원: 정보보호 실무자 700여 명(현업 보안책임자/실무자만 참석 가능)
-참가비: 현업 보안실무자는 무료
-교육이수: 공무원 및 일반기업 보안교육 7시간/CPPG, CISSP 등 교육이수 7시간 인정
-등록마감: 2025년 4월 13일 오후 5시까지
-참석불가: 학생, 프리랜서, 무소속, 정보보호 업무와 상관없는 자는 참석불가
-참관 및 참가기업 문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
-사전등록 필수: 클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★