북한 해커, AI로 가짜 이력서·위장취업…지난해 320곳 피해

(서울=뉴스1) 윤주영 기자 = 북한 연계 해커 조직이 생성형 인공지능(AI)을 활용, 지난해 320여개 기업에 원격근무 소프트웨어 개발자로 위장 취업한 사실이 드러났다.

1일 글로벌 보안기업 크라우드스트라이크는 '2025 위협 헌팅 보고서'를 통해 이를 밝혔다.

조직 이름은 '페이머스 천리마(FAMOUS CHOLLIMA)'다. 이들은 주로 북미·서유럽·동아시아 대형 기업을 대상으로 대규모의 내부자 공격 캠페인을 감행했다. 피해 기업 수도 전년 대비 220% 증가한 수치다.

특히 이들은 생성형 AI를 통해 공격 캠페인 전 과정을 자동화했다. AI 기반 가짜 이력서, 딥페이크 인터뷰, 신분 위조를 통한 과제 수행 등 기업 내부자를 파고들었다.

위장 취업에 성공한 뒤에도 AI 에이전트 코드와 번역 도구 등을 활용해 미숙한 영어 실력을 숨겼다.

크라우드스트라이크 측은 "(페이머스 천리마는) 탐지를 피하고자 파일 다운로드와 실행 방식을 조금씩 수정해 가며 7가지 악성코드를 배포했다"며 "다른 국가 배후 세력을 크게 상회하는 작전 속도"라고 설명했다.

이어 "이외에도 다수의 글로벌 해커들이 생성형 AI를 통해 신속하고 고도화한 사이버 공격을 벌이는 중"이라고 강조했다.

특히 기업이 최근 많이 도입하는 자율형 AI 에이전트를 노리고 있다는 분석이다. AI 에이전트 개발 도구의 취약점을 악용해 내부 접근 권한과 자격 증명을 탈취하는 방식이다. 이 때문에 악성코드 배포 사례도 늘고 있다.

AI를 악용해 빠르게 악성코드를 개발할 수 있다는 점도 문제다. 초기 침투부터 랜섬웨어 배포까지 24시간이 채 걸리지 않은 사례도 확인됐다.

한편 클라우드 침해 공격도 전년 대비 136% 증가했다. 이 중 40%는 중국 연계 세력이 주도한 것으로 드러났다. 대표적인 공격그룹 '제네시스 판다'와 '머키 판다'는 클라우드 설정 오류와 신뢰받는 접근 권한 등을 악용해 탐지를 회피했다.

애덤 마이어스 크라우드스트라이크 공격 대응 작전 총괄은 "공격자들은 서비스형 소프트웨어(SaaS) 플랫폼, 클라우드 콘솔, 고급 권한 계정을 노리는 방식으로 AI 에이전트를 공략한다"고 말했다.

legomaster@news1.kr