북한이 국제 사회 제재 속 핵·미사일 개발 자금을 대기 위해 자국 해커 집단을 미국 정보 기술(IT) 기업에 위장 취업시켜 한미가 대응에 골머리를 앓고 있는 가운데, 위장 취업 작전 전반에 오픈AI의 ‘챗GPT’나 구글의 ‘제미나이’ 같은 생성형 인공지능(AI) 도구를 적극 활용하고 있다는 분석이 나왔다. 사이버 보안 전문 기업인 크라우드스트라이크는 26일 발간한 연례 ‘글로벌 위협 보고서’에서 “북한 해킹 조직이 AI 도구를 적극 도입해 가짜 신원을 만들고, 코딩을 보조하는 AI 도구로 합법적인 개발자인 것처럼 위장해 탐지를 피하고 있다”며 “소프트웨어 공급망 보안 강화와 함께 AI를 악용한 신종 사회공학 공격에 대한 철저한 대비가 필요하다”고 했다.
보고서는 북한의 해커 조직인 ‘페이머스 천리마(FAMOUS CHOLLIMA)’의 지난해 활동이 전년 대비 두 배로 급증했다고 분석하며 이 조직이 합법적인 채용 담당자로 위장한 뒤 소프트웨어 개발자들에 접근, 채용 평가를 명목으로 악성 코드 다운로드를 유도해 이를 배포했다고 밝혔다. 이들이 유포한 악성 패키지는 8000회 이상 다운로드가 돼 대규모 2차 감염 피해로 이어졌다. 이들은 생성형 AI를 적극 활용해 더 신속하고 광범위한 공격을 추구하고 있는데 이미 내부자 공격 프로그램의 전체 과정을 자동화해 재작년에만 300개가 넘는 기업에 침투한 것으로 나타났다. AI 기반 가짜 이력서 작성, 딥페이크 인터뷰, 허위 신분을 통한 기술 과제 수행 등으로 내부자 위협을 지속 확장했다는 평가다.
또 다른 해커 조직인 ‘프레셔 천리마(PRESSURE CHOLLIMA)’의 경우 지난해 2월 소프트웨어 공급망을 공격해 단일 사이버 금융 범죄로는 역대 최고 수준인 약 14억6000만 달러(약 2조1000억원) 상당의 암호화폐를 탈취했다고 지적했다. ‘프레셔 천리마’는 소프트웨어 개발자의 개발 관련 접속 권한을 빼낸 뒤, 이 권한을 악용해 중앙화된 암호화폐 거래소인 ‘바이비트(Bybit)’의 인프라에 침투했다. 이후 암호화폐를 자신들의 가상 지갑으로 이체했는데, 자금 이체 직후 삽입한 악성 코드를 즉시 원래 버전으로 복구하는 등 탐지를 위한 치밀함을 보인 것으로 분석됐다. 보고서는 “북한 연계 해킹 조직이 2026년에도 군사 정보 수집, 암호화폐 탈취, 수익 창출 작전에 우선순위를 두고 활동을 이어갈 가능성이 매우 높다”며 “글로벌 핀테크 기업, 테크 기업, 서방 세계의 국방 관련 기업들이 심각한 표절이 될 수 있다”고 경고했다.