북한 해킹 조직 김수키가 생성형 인공지능(AI)을 활용해 악성코드를 개발하고, 정부 공무원의 전자인증서까지 노리는 등 사이버 공격 수법을 한층 고도화하고 있다는 분석이 나왔다.
보안 업체 카스퍼스키가 북한 해킹 그룹 김수키의 최신 공격 전술을 분석한 보고서를 14일 발표했다.
2013년 카스퍼스키가 처음 식별한 김수키는 10년 이상 활동을 이어온 북한 연계 공격(APT) 조직이다. 다른 한국어 기반 APT 그룹에 비해 기술 수준은 상대적으로 낮다는 평가를 받지만, 맞춤형 스피어 피싱 이메일 제작에 강점을 가진 것으로 알려져 있다.
보고서에 따르면 김수키는 최근 대규모 언어 모델(LLM)을 악성코드 개발에 활용하고 있는 것으로 나타났다. 카스퍼스키 연구진은 최근 수개월간의 활동을 분석하는 과정에서 러스트(Rust·프로그래밍 언어) 기반 백도어인 헬로도어(HelloDoor)를 식별했다. 이 악성코드 내부에서는 이모티콘이 포함된 주석과 문법적 오류가 발견됐는데, 카스퍼스키는 이를 LLM이 코드 작성 과정에 관여한 정황으로 보고 있다. 이에 따라 AI를 활용한 사이버 공격 도구 개발이 더욱 빠르게 고도화될 수 있다는 분석이 나온다.
공격 방식에서도 변화가 확인됐다. 김수키는 기존 악성코드 유포 방식에 더해 비주얼 스튜디오 코드(VSCode)의 원격 터널링 기능과 원격 관리 도구를 공격 채널로 전용하고 있는 것으로 드러났다. 이는 피해 시스템이 마이크로소프트 서버와 통신하는 것처럼 보이게 해 보안 솔루션의 탐지를 우회하고 공격자가 웹 브라우저를 통해 은밀하게 피해 기기에 접속할 수 있도록 돕는다.
정부 기관을 노린 위협도 늘고 있다. 김수키가 사용하는 애플시드(AppleSeed) 악성코드에는 공무원이 정부 시스템 접속에 사용하는 정부 공인 전자인증서(GPKI) 저장 디렉토리를 수집하는 기능이 탑재된 것이 확인됐다. 카스퍼스키는 해당 인증서가 유출될 경우 공무원 계정 도용을 통한 정부 시스템 접근의 우려가 있다고 설명했다.
이번 분석에서는 한국의 군 관계자, 정부 공무원, 방위산업체 직원, 군 출입 기자, 통신사 직원 등이 감염된 정황도 확인됐다. 김수키는 제품 견적서나 채용 공고로 위장한 정교한 스피어 피싱 이메일을 이용해 초기 침투를 시도하는 것으로 나타났다. 최근에는 메신저를 사용해 접근하거나 한국의 정상 웹사이트를 해킹해 C2(명령 및 제어) 서버로 악용하는 등 인프라 은닉 전술도 병행 중이다.
이효은 카스퍼스키코리아 지사장은 "김수키의 최신 캠페인은 AI를 활용한 코드 생성과 정상 소프트웨어의 무기화라는 두 축으로 정교함을 높이고 있다"며 "기업과 기관은 행위 기반 탐지 체계를 구축하고 최신 위협 인텔리전스를 정기적으로 업데이트해야 한다"고 강조했다.