북한뿐 아니라 러시아·이란·중국도 AI 무기화 전선 확대

크라우드스트라이크가 사용하는 위협 행위 조직 명표

북한 연계 해킹 세력 ‘페이머스 천리마(FAMOUS CHOLLIMA)’가 생성형 인공지능(GenAI)을 무기화해 전 세계 320개 이상의 기업에 위장 취업 형태로 침투했다는 분석이 나왔다.

글로벌 보안 기업 크라우드스트라이크(CrowdStrike)가 2025년 위협 헌팅 보고서를 통해 밝힌 내용으로, 내부자 위협이 AI 기술을 기반으로 한 새로운 단계로 진화하고 있음을 보여준다.

■북한 페이머스 천리마, 위장 취업 공격 정교화

보고서에 따르면 페이머스 천리마는 생성형 AI를 활용해 가짜 이력서를 자동으로 작성하고, 딥페이크 영상으로 면접을 치른 뒤 허위 신분으로 기업 내부 업무를 수행했다. 단순한 사회공학적 공격을 넘어 실제 내부 직원처럼 행동하며 기업 시스템에 장기간 잠복할 수 있는 능력을 갖춘 것이다.

특히 크라우드스트라이크는 이들의 공격 활동이 전년 대비 220% 증가했다고 밝혔다. 이는 단기간 내 급격히 확산된 수치로, 과거 북한의 ‘IT 위장 취업’ 전략이 이제는 생성형 AI에 의해 산업화·자동화되고 있음을 의미한다. 보고서는 이러한 공격 방식이 인력 채용 과정과 내부 운영 시스템의 신뢰를 근본적으로 흔들고 있다고 분석했다.

페이머스 천리마는 단순한 침투가 아니라 지속적인 수익 창출 구조를 가지고 있다는 점에서도 주목된다. 위장 취업을 통해 기업 급여를 빼돌리는 것은 물론, 내부 접근 권한을 활용해 맞춤형 악성코드를 배포하거나 다른 위협 세력에 접근 권한을 판매하는 행위까지 확인됐다. 이는 북한이 국제 제재 환경에서 외화 수익을 창출하기 위해 사이버 공격을 점차 체계적이고 지속 가능한 모델로 전환하고 있음을 보여준다.

■러시아·이란·중국, AI 무기화 전선 확대

북한뿐 아니라 러시아와 이란 역시 AI를 공격 전술에 적극 활용하고 있다. 러시아 연계 세력 ‘엠버 베어(EMBER BEAR)’는 친러시아 내러티브를 대규모로 확산시키는 데 AI를 사용했고, 이란 연계 ‘차밍 키튼(CHARMING KITTEN)’은 대규모 언어 모델(LLM)을 기반으로 피싱 메일을 제작해 미국과 유럽을 겨냥했다.

중국은 클라우드 침해 공격에서 두드러졌다. 보고서에 따르면 클라우드 공격은 전년 대비 136% 증가했으며, 이 중 40%가 중국 연계 세력에 의해 이뤄졌다. ‘제네시스 판다(GENESIS PANDA)’와 ‘머키 판다(MURKY PANDA)’는 클라우드 설정 오류와 신뢰된 접근 권한을 악용해 탐지를 회피하며 침투 활동을 이어갔다.

■AI 에이전트, 차세대 공격 표면으로 부상

크라우드스트라이크는 공격자들이 단순히 AI를 활용하는 것을 넘어, AI 에이전트 자체를 공격 대상으로 삼고 있다고 경고했다. AI 에이전트 개발 도구의 취약점을 이용해 인증 절차를 우회하고, 자격 증명을 탈취하며, 악성코드와 랜섬웨어를 배포하는 사례가 발견됐다. 이는 AI 기반 자동화 시스템과 비인간 아이덴티티가 곧바로 기업 보안의 새로운 약점으로 떠오르고 있음을 의미한다.

생성형 AI를 활용한 악성코드 제작도 이미 현실이 됐다. ‘펑크락커(Funklocker)’와 ‘스파크캣(SparkCat)’은 각각 빠른 피해 확산과 이미지 인식 기술을 활용한 데이터 탈취 방식으로 사이버 위협의 진화를 보여줬다.

한편, 해킹 그룹 ‘스캐터드 스파이더(SCATTERED SPIDER)’는 보이스피싱과 헬프데스크 사칭을 통해 자격 증명을 탈취하고 다중 인증(MFA)을 우회했다. 일부 사례에서는 초기 침투부터 랜섬웨어 배포까지 불과 24시간이 걸리지 않았다.

■“기업 AI 시스템 방어가 핵심 과제”

애덤 마이어스(Adam Meyers) 크라우드스트라이크 공격 대응 총괄은 “공격자들은 생성형 AI를 악용해 사회공학 공격의 속도를 높이고 있으며, 기업이 도입한 AI 시스템 자체를 공격 대상으로 삼고 있다”고 밝혔다. 그는 이어 “AI 에이전트는 SaaS 플랫폼, 클라우드 콘솔, 관리자 계정과 마찬가지로 초고가치 자산으로 간주돼 공격받고 있다”며, “앞으로의 보안 핵심은 기업이 자사 AI를 어떻게 방어하느냐에 달려 있다”고 강조했다.

이번 보고서는 북한을 비롯한 주요 국가 연계 해킹 세력들이 AI를 통해 전통적인 공격 방식을 산업화하고 있음을 보여준다. 특히 페이머스 천리마 사례는 기업의 채용 프로세스부터 내부 운영까지 침투할 수 있음을 알려준 사례다. AI 기반 위협 대응 전략이 절실한 시점이다.

[출처 : 데일리시큐]