[디지털데일리 김보민기자] 지난 8월, 보안 전문지 프랙(Phrack)은 북한 배후 정찰총국 산하 '김수키'가 한국 정부기관과 이동통신사를 공격했다고 폭로했다. 주장에 따르면 김수키는 국내 이동통신사의 인증서와 내부 서버 관리용 계정권한관리시스템(APPM)의 소스코드를 빼돌리는 데 성공했다.

보안 전문가들은 북한 배후 공격자가 위협 난도를 높이고 있는 만큼, 이번 주장에 신빙성이 있다고 입을 모은다. 특히 인공지능(AI) 기술을 능숙하게 악용하는 모습까지 연이어 포착되는 만큼, 외부로 알려지지 않은 피해가 더욱 많을 것으로 예상하고 있다.

최근 <디지털데일리>를 만난 오스틴 라슨(Austin Larsen) 구글 위협인텔리전스그룹(GTIG) 수석 위협 애널리스트도 프랙에서 보고한 주장을 간과해서는 안 된다고 밝혔다. 라슨 애널리스트는 "프랙에서 관찰한 자격증명 탈취와 맞춤형 악성코드 사례의 경우, 구글이 조사한 침입 사례와 일치한다"며 "(이번에 보고된) 전술을 살펴봤을 때, 정교한 국가 지원 행위와 일치한다고 볼 수 있다"고 말했다.

라슨 애널리스트는 구글 GTIG에서 글로벌 사이버 사고 대응과 합동 조사를 이끄는 인물로, 구글 이용자와 전 세계 고객을 보호하자는 사명 아래 위협 연구와 전략 수립을 주도하고 있다. 구글클라우드가 인수한 '맨디언트'에서부터 오랜 기간 이력을 쌓아온 인물이기도 하다. 맨디언트 시절에는 고급분석팀에서 활동하며 위협 활동을 추적하는 역할을 맡았다.

라슨 애널리스트는 프랙 보고를 넘어, AI 시대를 맞아 북한 배후 공격자들이 더욱 정교한 위협을 가할 수 있게 됐다는 점을 기억해야 한다고 강조했다. 그는 "북한 사이버 행위자들은 매우 유능하며, AI를 활용해 악성 활동을 감행하고 있다"며 "자신이 선호하는 AI 도구를 사용하기도 하고, 특정 작업에 잘 맞는 도구를 상황에 따라 고를 수 있는 수준에 이르렀다"고 진단했다.

라슨 애널리스트는 세 가지 종류의 북한 배후 AI 위협을 경계해야 한다고 이야기했다. 그중 첫 번째로 정보기술(IT) 취업을 꼽았다. 그는 "북한은 글로벌 정보기술(IT) 기업에 취직하기 위해 AI 기술을 교묘하게 악용하고 있다"며 "이력서를 만드는 작업부터, 취업 사진을 위조하고, 딥페이크를 통해 외모를 더욱 서구적으로 표현하거나 마치 다른 장소에 있는 것처럼 합성하기도 한다"고 설명했다.

앞서 구글은 '생성형 AI의 적대적 오용(Adversarial Misuse of Generative AI)'이라는 보고서를 통해 북한을 비롯한 국가 배후 공격 조직이 자사 AI 서비스 '제미나이'를 악용하고 있다고 발표하기도 했다. 이와 관련해 라슨 애널리스트는 "제미나이 사례를 보면, 북한 IT 근로자들은 프리랜서를 위한 디스코드 서버를 찾거나, 암호화폐 연구를 위해 AI를 사용했다"고 말했다.

일반 생성형 AI 사용자와 마찬가지로, 북한 배후 공격자들도 서비스 활용에 능숙해지고 있다는 점을 엿볼 수 있는 부분이다. 라슨 애널리스트는 "대형언어모델(LLM)을 사용해 직무 급여를 조사하고, 자신들이 요구할 수 있는 수준과 지원할 기업을 결정하는 작업에도 AI를 사용한다"며 "조사와 연구 목적에 AI가 적극 활용된다는 의미"라고 부연했다.

다만 한국에는 아직 IT 전문가로 북한 공격자가 위장 취업한 사례는 보고되지 않았다. 이와 관련해 라슨 애널리스트는 "이들은 투자하는 시간 대비 수익률(ROI)을 높이는 영리한 작전을 짜고 있다"며 "평균 임금이 높고 고소득 일자리가 많은 미국, 유럽을 목표로 하고 있고 최근 아시아 지역에서는 싱가포르로 영역을 확장했다"고 말했다.

위장 취업자를 잡아내기도 쉽지 않다고 밝혔다. 그는 "(이러한 행위자가) 수천 명이 있고, 일부는 동시에 5~7곳에서 일을 하기도 한다"며 "급여를 몇 번 받은 뒤 다른 회사로 이동하는 방식으로 근속 기간이 짧은 경우도 대다수"라고 설명했다. 그러면서 "일부는 실제 IT 분야에 재능을 보이기도 하고, 또 다른 일부는 AI를 활용해 프로젝트를 처리하기도 한다"고 부연했다.

라슨 애널리스트는 두 번째로 북한 배후 공격자가 기술 작전과 정보 수집에 AI를 악용하고 있다고 경고했다. 그는 "한국 내 미군 주둔, 핵, 중요 운영기술(OT) 네트워크와 같은 정보를 조사하는 데 AI를 사용한 사례가 있다"며 "악성코드 생성뿐만 아니라 기존 악성코드를 강화하는 작업에도 AI를 악용한 사실도 확인했다"며 "웹캠 녹화 기능을 추가하거나, 안티바이러스 도구 탐지를 피하기 위한 우회 기능을 더하는 방식"이라고 말했다.

사후 침해를 위해 AI를 악용하는 움직임도 경계해야 한다고 밝혔다. 라슨 애널리스트는 "미미카츠(MIMIKATZ)와 같은 도구를 이용해 자격증명을 탈취하는 방법을 연구하는 작업에 AI를 쓰는 식"이라며 "결국 북한의 IT 인력뿐만 아니라 전반적인 위협 행위자들이 AI를 활용해 작전을 더욱 효율적으로 만들거나 새로운 기능을 추가한다는 의미"라고 꼬집었다.

한편 라슨 애널리스트는 북한뿐만 아니라 중국·러시아 등 다양한 국가 배후 조직의 위협이 거세진 만큼, GTIG가 앞으로 수행할 미션 또한 다각화될 것이라고 밝혔다. 그는 "우리의 핵심 임무는 변함이 없다"며 "구글과 사용자를 보호하고, 적을 방해하며, 위협을 방어하는 것이 우선"이라고 말했다. 이어 "구글은 위협 연구 최전선에 서서, 전 세계와 한국 조직에 필요한 정보를 제공하는 것이 목표"라고 강조했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -