北·中 해커, AI로 공격자산 '기계적' 대량생산… 구글 "사이버戰 산업화 단계"

구글. (사진=AFP)

[이데일리 한광범 기자] 북한과 중국 등 국가 배경 위협 세력이 AI를 활용해 사이버 공격 인프라를 산업적 규모로 찍어내는 ‘성숙기’에 진입했다는 구글의 분석이 나왔다.

구글 위협 인텔리전스 그룹(GTIG)은 12일 발간한 ‘AI 위협 추적 보고서(AI Threat Tracker)’를 통해 “중국과 북한이 AI를 단순한 보조 도구가 아닌 공격의 속도와 정교함을 극대화하는 ‘전문가급 multipliers’로 활용하며 국가적 보안 위기를 고조시키고 있다”며 이 같이 밝혔다.

◇전문가 페르소나와 자동화 프롬프트로 무장한 국가 배후 해킹 조직

가장 위협적인 사례로 꼽힌 북한 배후 해킹 조직 APT45는 AI 모델에 수천 개의 반복적인 프롬프트를 전송하여 다양한 취약점(CVE)을 재귀적으로 분석하는 방식을 취했다. 이는 사람이 수동으로 수행하기 불가능한 영역을 AI가 대체한 것으로, 이를 통해 대규모 공격 자산(Arsenal)을 기계적으로 구축하며 공격 효율을 극대화했다.

중국 연계 세력(UNC2814) 역시 시니어 보안 감사자 등의 전문가 페르소나를 AI에 부여해 안전 가드레일을 우회하는 ‘탈옥’ 기법을 구사하며, 8만 5000건 이상의 실제 취약점 사례가 담긴 지식베이스 ‘wooyun-legacy’를 연동해 고도화된 코드 분석을 수행 중이다.

AI가 직접 개발 과정에 깊숙이 관여한 ‘제로데이(Zero-day)’ 취약점 공격 코드가 포착된 점도 이번 보고서의 핵심이다. GTIG는 사이버 범죄 집단이 유명 오픈소스 시스템 관리 도구의 2단계 인증(2FA)을 우회하기 위해 개발한 제로데이 코드를 확인했다.

해당 코드에는 LLM 학습 데이터의 전형적인 흔적인 상세 도움말 메뉴와 ANSI 컬러 클래스 등이 포함되어 있어 AI 모델을 통한 무기화가 현실화되었음을 입증했다. GTIG는 해당 취약점을 개발사에 통보해 패치를 완료함으로써 즉각적인 위협을 차단했으며, 이 공격이 자사 모델인 제미나이(Gemini)나 미토스(Mythos)를 통해 개발된 것은 아니라고 판단하고 있다.

◇AI 생성 제로데이와 에이전틱 AI 도구의 실전 투입

공격 전술 또한 스스로 판단하고 움직이는 ‘에이전틱(Agentic) AI’ 기반으로 진화하고 있다. 중국 연계 조직은 ‘헥스트라이크(Hexstrike)’와 ‘스트릭스(Strix)’ 같은 자율 에이전트 도구를 실전에 투입해 최소한의 인간 개입으로 취약점을 탐색하고 도구를 전환하며 표적을 압박했다. 러시아 세력 역시 ‘오퍼레이션 오버로드(Operation Overload)’ 캠페인에서 AI로 합성된 기자 목소리를 활용해 정보 작전을 펼치거나, 악성코드 내부에 AI가 생성한 ‘미끼 코드’를 대량 삽입해 탐지를 회피하는 기법을 구사했다.

중국 연계 사이버 스파이 조직인 UNC5673을 비롯한 위협 그룹은 최신 대규모 언어 모델(LLM)의 권한을 확보하기 위해 정교한 수법을 동원하고 있다. 이들은 ‘Claude-Relay-Service’나 ‘CLI-Proxy-API’와 같은 전문 미들웨어와 계정 등록 자동화 프로그램을 활용해 고성능 AI 모델 서비스에 익명으로 접근한다.

이를 통해 모델 사용량 제한을 우회하고 운영 비용을 충당하며 대규모 AI 서비스를 공격 활동에 오남용하고 있다. 또한 ‘TeamPCP’와 같은 조직은 LiteLLM 등 AI 소프트웨어 종속성을 겨냥한 공급망 공격을 통해 클라우드 자격 증명을 탈취하고 이를 랜섬웨어 조직과 공유하는 등 공격 범위를 넓히고 있다.

구글은 이에 맞서 AI 에이전트 ‘빅 슬립(Big Sleep)’으로 취약점을 선제 식별하고, 제미나이의 추론 능력을 활용한 ‘코드멘더(CodeMender)’로 자동 패치를 수행하는 등 방어 체계를 강화하고 있다.

존 헐트퀴스트(John Hultquist) GTIG 수석 애널리스트는 “AI에 의한 취약점 전쟁은 이미 시작됐다. 우리가 AI의 소행으로 밝혀낸 제로데이 이면에는, 아직 탐지되지 않은 훨씬 더 많은 사례들이 존재하고 있을 것”이라며 “위협 행위자들은 다방면에서 AI를 활용해 공격의 속도와 규모, 정교함을 발전시키고 있다. 이를 통해 공격을 테스트하고, 표적에 집요하게 침투하며, 더욱 강력한 악성코드를 개발한다. 국가 배후 세력은 물론, 사이버 범죄 집단의 AI 활용 위협을 결코 과소평가해서는 안 된다”라고 강조했다.