北 사이버 공격, AI로 더 교묘해졌다…딥페이크로 경찰 사칭

(서울=뉴스1) 이민주 기자 = 북한 국가정보국 소속으로 추정되는 해킹조직이 경찰청과 군 기관 등을 사칭해 국내 관계자를 타깃으로 하는 '스피어피싱'(표적형 피싱) 공격에 나선 정황이 드러났다.

이들은 생성형 인공지능(AI) 기반 딥페이크로 공무원증 등을 만들어 실제 관계자인 것처럼 꾸며내 악성코드를 정상 문서처럼 위장해 유포했다.

19일 지니언스 시큐리티센터는 최근 딥페이크 사칭 공격 이후 파이썬(Python) 기반 백도어 악성코드를 설치하는 방식의 사이버 공격 사례(위협 캠페인)를 포착했다고 밝혔다.

지니언스에 따르면 공격은 경찰청·군 기관 등을 사칭한 이메일에 ZIP 압축파일을 첨부한 뒤 내부의 바로가기(LNK) 파일 실행을 유도하는 방식으로 진행됐다. 사용자가 파일을 실행하면 추가 악성 스크립트와 파일이 단계적으로 설치되며 외부 서버가 이를 통해 원격 명령을 실행하고 정보를 탈취하는 구조다.

시나리오는 다음과 같다.

공격자는 먼저 항공권 전자티켓이나 포털 이메일 계정 충돌 안내, 북한 연구 관련 행사 초청, 경찰·국방 분야 공무원 사칭 등 실제 업무와 연관된 내용의 이메일을 발송해 사용자의 파일 실행을 유도했다.

실제 피싱에 활용된 메일을 보면 공격자는 자신을 통일, 북한 전문가로 소개하며 북한과 관련한 주요 자료를 보유하고 있다고 설명한다. 이후 수신자에 함께 연구를 진행할 것 등을 제안하며 프로그램(첨부파일, 악성코드 링크)을 첨부해 회신하는 형태다.

지니언스는 이 과정에서 생성형 AI 기반 딥페이크 기술로 제작된 공무원증 이미지와 기관 사칭 이메일, 문자열 치환 기반 난독화 기법, 다단계 다운로드 구조 등이 함께 사용됐다고 설명했다. 딥페이크란 AI 기술을 이용해 실제 존재하는 사람처럼 보이도록 가짜 이미지, 영상, 오디오 등을 생성하는 기술이다.

주요 타깃은 북한 연구자, 북한 인권 활동가, 기자, 군·안보 관련 종사자 등이었다.

공격자는 APT37 그룹으로 특정됐다. 이 그룹은 북한 국무위원회 체계에 속한 정보기관인 국가정보국(구 국가보위성)과 연계된 사이버 위협 행위자로 추정된다. 이 조직은 대북 분야 인사를 대상으로 악성 사이버 스파이 활동과 자국의 이익을 위한 방첩 활동 등을 벌여왔다.

지니언스는 이 위협을 사회공학 기법, 정상 도구 악용, 난독화 스크립트, 다단계 다운로드, Python 기반 백도어 운용이 결합된 복합 공격으로 정의하고 EDR 중심의 통합 보안 체계가 필요하다고 제안했다. EDR은 PC·노트북 같은 사용자 단말에서 악성 행위를 실시간 탐지하고 대응하는 보안 시스템을 말한다.

이처럼 북한은 최근 생성형 AI와 딥페이크 기술을 사이버 공격에 적극 접목하며 해킹 수법을 빠르게 고도화하고 있다.

글로벌 보안 기업 카스퍼스키가 최근 발간한 보고서에도 북한 해킹 그룹 '김수키'가 사용한 백도어에서 대규모 언어 모델(LLM)로 코드를 작성한 정황을 확인했다는 내용이 포함됐다. 김수키는 북한의 대표적인 대남 공작 조직 산하 해킹조직이다.

국가정보원 국가사이버안보센터가 최근 발간한 '2025 국가사이버안보센터 연례보고서'에 따르면 지난해 북한이 국내외 암호화폐 등을 해킹해 빼앗은 금전 규모는 2조 원 이상으로 역대 최대 규모다.

국가사이버안보센터는 "북한의 9차 당대회와 미국의 신국가안보전략 등 국제 안보 변수가 늘어나며 피아 구분 없는 해킹 공격이 증가할 것"이라며 "AI가 해킹 전 과정에 악용돼 새로운 사이버 공격 수법이 끊임없이 등장할 것이며 국가안보 및 기업 생존에 막대한 지장을 초래할 수 있다"고 설명했다.

minju@news1.kr