구글 "中·北 해킹조직, AI로 사이버전 산업화…전문 해커 증폭기"

(서울=뉴스1) 신기림 기자 = 구글이 인공지능(AI)을 활용해 미공개 보안 취약점(제로데이)을 발견하고 실제 공격 코드까지 개발한 사례를 처음 확인했다고 밝혔다. 중국과 북한 연계 해킹조직들이 AI를 활용해 사이버 공격 자동화 경쟁에 본격 뛰어들었다는 경고가 나왔다.

11일(현지시간) 구글 위협정보그룹(GTIG)이 공개한 AI 위협추적 보고서(AI Threat Tracker)에 따르면 최근 유명 사이버범죄 조직이 AI를 활용해 제로데이 공격 코드를 개발한 정황이 포착됐다.

구글은 해당 조직이 오픈소스 웹 기반 시스템 관리 도구의 2단계 인증을 우회하는 취약점을 AI로 찾아낸 뒤 실제 공격용 파이썬 스크립트, 즉 취약점을 자동으로 찔러보는 실행 코드까지 제작했다고 설명했다. 해당 공격은 대규모 해킹 캠페인에 활용될 예정이었지만 구글 측이 사전에 탐지해 차단했다고 밝혔다.

구글은 코드 구조와 문서 형식, 존재하지 않는 보안 취약점 점수(CVSS)를 AI가 '환각(hallucination)' 형태로 삽입한 흔적 등을 근거로 AI 모델이 공격 개발 과정에 사용됐다고 판단했다. 코드 안에서 생성형 AI 특유의 그럴듯한 허위 정보 흔적이 발견됐다는 것이다.

특히 이번 보고서는 중국과 북한 연계 조직들이 AI를 단순 피싱 문구 작성 수준을 넘어 실제 공격 자동화와 취약점 연구 단계까지 활용하고 있다고 경고했다.

구글에 따르면 중국 연계 해킹조직들은 AI에 "임베디드 보안 전문가" 역할을 부여한 뒤 네트워크 장비 펌웨어와 산업용 시스템 프로토콜 취약점을 탐색하도록 하는 방식까지 사용했다. 형식상 보안 점검처럼 보이지만 실제 목적은 공격 가능한 해킹 경로 탐색이었다는 설명이다.

일부 조직은 AI 기반 자동 공격 도구인 '오픈클로' 계열 시스템을 활용해 일본 기술기업을 대상으로 자율형 정찰 공격을 수행한 정황도 포착됐다.

보고서는 중국 조직들이 과거 공개된 대규모 취약점 데이터까지 AI에 학습시켜 취약점 탐지 정확도를 높이려 했다고 설명했다. 시장에서는 중국이 AI 기반 사이버전 자동화 경쟁에서 가장 공격적으로 움직이고 있다는 평가도 나온다.

북한 연계 조직들의 움직임도 주목된다. 구글은 북한 해킹조직 APT45가 AI 모델에 수천 개의 프롬프트를 반복 입력하며 알려진 취약점과 공격 코드 검증 작업을 자동화했다고 밝혔다.

보고서는 북한 조직들이 AI를 활용해 대규모 공격 자산과 취약점 데이터베이스를 구축하려 했다고 설명했다. 사실상 AI를 이용해 사이버 무기창고를 자동 구축하려 했다는 의미다.

북한은 이미 암호화폐 탈취와 금융기관 공격, 공급망 침투 등에 강점을 가진 조직으로 평가받는다. 여기에 AI 기반 자동화가 결합될 경우 공격 속도와 규모가 크게 확대될 수 있다는 우려가 나온다.

러시아 연계 조직들은 AI를 활용해 형태를 계속 바꾸는 다형성(polymorphic) 악성코드와 탐지 회피용 난독화 코드를 개발 중인 것으로 나타났다. AI가 악성코드 내부에 가짜 로직(decoy logic)까지 삽입하면서 보안 프로그램 탐지를 더욱 어렵게 만들고 있다는 설명이다.

구글은 특히 AI 기반 악성코드 '프롬프트스파이(ROMPTSPY)'를 사례로 들며 "AI가 시스템 상태를 스스로 해석하고 공격 명령을 생성하는 자율형 공격 단계가 시작됐다"고 평가했다. 사람이 일일이 명령하지 않아도 AI가 공격 흐름 일부를 스스로 판단하고 수행하는 단계로 진화하고 있다는 의미다.

구글은 "AI가 공격자들에게 전문 인력 이상의 증폭기(force multiplier) 역할을 하고 있다"며 "사이버 공격이 산업화 단계로 빠르게 이동하고 있다"고 경고했다.

shinkirim@news1.kr