국내에서 처음으로 북한 연관 해킹조직이 인공지능 기술을 동원해 제작한 허위 이미지를 통한 사이버공격 사례가 포착됐다. 보안업체 지니언스 시큐리티센터가 15일 공개한 분석보고서에서는 지난 7월 김수키로 명명된 북한계 사이버범죄집단이 생성형AI로 조작된 사진을 이용해 국내 군사관련 조직을 겨냥한 표적공격을 전개했다고 밝혔다.

공격수법은 군무원 신분증 디자인 초안에 대한 의견수렴이라는 명목으로 멀웨어가 포함된 이메일을 전송하는 방식이었다. 핵심은 해당 신분증 샘플에 삽입된 인물사진이 AI로 생성된 가상의 얼굴이었다는 점이다. 군 관련 신분증은 법령에 의해 엄격하게 보호받는 공식문서로서 원본과 같거나 근사한 형태의 복제품 제작은 불법행위에 해당한다.

일반적으로 ChatGPT 등 AI플랫폼은 정부발행 신분증 복사 요청을 거부하도록 설정되어 있다. 그러나 해커들은 "정당한 목적의 시안제작이나 견본용 디자인작업"이라는 우회표현을 통해 AI시스템을 기만하여 딥페이크 이미지를 획득한 것으로 분석된다. 더불어 이들은 송신자 신원을 위장하기 위해 정부군사기관의 정식 도메인 주소인 'mil.kr'과 흡사한 'mli.kr'을 사용하여 수신자들을 혼란에 빠뜨리려 했다.

이번 공격의 표적은 한국 언론종사자, 학술연구자, 북한인권활동가들이었던 것으로 확인됐다. 블룸버그 통신이 인용한 자료에 따르면 김수키 조직은 북한정권의 전세계 정보수집 임무를 담당하는 것으로 여겨진다.

북한의 AI악용 양상은 해외에서도 빈번히 관측되고 있다. 미국 AI기업 앤트로픽이 지난달 발표한 보안리포트에서는 북한 해커집단이 자사의 AI도구 '클로드'를 활용해 교묘한 허위신원을 구축하고 해외 IT기업 채용과정에 침투한 사례를 공개했다. 이들은 AI지원을 받아 코딩시험을 통과하고 실제 업무수행까지 해내는 모습을 보였다.

해당 활동은 국제제재 우회와 외화벌이를 위해 치밀하게 기획된 것으로 평가된다. 과거라면 프로그래밍 능력 부족과 영어소통 한계로 인해 기술직 면접통과나 지속적인 업무처리가 곤란했을 상황에서, AI가 북한 해커들의 기술적 취약점을 보완해주는 역할을 하고 있다는 것이 전문가들의 분석이다.

ChatGPT 개발사인 오픈AI도 올해 2월 북한 관련 의심계정들이 자사 플랫폼을 통해 거짓 이력서와 자기소개서, 소셜미디어 콘텐츠를 생성하여 인력모집 활동을 벌인 정황을 포착해 해당 계정들을 차단한 바 있다.

지니언스 연구진은 김수키 그룹이 최근 "AI가 이메일을 자동으로 처리해주는 서비스"라는 식의 제목을 활용하여 수신자를 유인하는 등 인공지능을 전면에 내세운 공격기법을 더욱 활발하게 구사하고 있다고 경고했다.

보안전문가들은 AI서비스가 업무효율성 증대에 기여하는 유용한 기술이지만 동시에 국가보안 측면에서 심각한 사이버위협으로 전용될 가능성이 있는 양날의 검이라고 지적하며, IT조직의 인사채용부터 운영관리 전 과정에서 AI오남용 위험성을 감안한 종합대책 수립이 시급하다고 강조했다.