AI로 해킹코드 짠 북한 ‘김수키’…해킹 자동화 현실화 작성일 05-17 30 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">체크·돋보기 이모지 발견…“전형적 LLM 패턴”<br>“AI 해킹시대 이미 도래…기존 기술약점 보완”</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="tdReo4Q9lm"> <figure class="figure_frm origin_fig" contents-hash="8bb723f9e0fa8ca6622149755a9e1b3699219d83e2504763aae5964e8356bdd0" dmcf-pid="FJedg8x2lr" dmcf-ptype="figure"> <p class="link_figure"><img alt="미리캔버스가 그린 일러스트." class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202605/17/dt/20260517135939743thxy.png" data-org-width="640" dmcf-mid="1ImsSADgvs" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/17/dt/20260517135939743thxy.png" width="658"></p> <figcaption class="txt_caption default_figure"> 미리캔버스가 그린 일러스트. </figcaption> </figure> <p contents-hash="106e8391b05502d256845620a415ffa7a2dfe705cbbd953e460cf9f63c506eb7" dmcf-pid="3idJa6MVlw" dmcf-ptype="general"><br> 북한 해킹 그룹들이 인공지능(AI)을 본격적인 공격 도구로 활용하기 시작한 정황이 확인됐다. 단순히 피싱 메일을 다듬는 수준을 넘어 악성코드 제작과 보안 취약점 탐색을 대형언어모델(LLM)에 맡기는 단계로 진입했다는 평가다.</p> <p contents-hash="2ae45f233724b011ac1719361844224f2032d8aaaba7c7b21956fbb9ad3ad468" dmcf-pid="0nJiNPRfSD" dmcf-ptype="general">17일 보안 업계에 따르면 글로벌 보안 기업 카스퍼스키는 최근 북한 해킹 그룹 ‘김수키’가 새롭게 사용한 백도어 ‘헬로도어’ 코드에서 LLM이 작성한 것으로 보이는 흔적을 확인했다.</p> <p contents-hash="4bb81a67c19d9761e35af9da7f02ae422808c17c3dd86b65d2d09d7a360495c7" dmcf-pid="pRxMnV6bSE" dmcf-ptype="general">보고서에 따르면 헬로도어 코드 안에 체크 표시나 돋보기 모양의 이모지가 포함된 영문 주석이 다수 발견됐는데 이는 LLM 서비스의 전형적인 출력 스타일이다.</p> <p contents-hash="a40e557fd324826baca677ca34a3aa96694736bb20cf81c6044f598eec496941" dmcf-pid="UeMRLfPKCk" dmcf-ptype="general">같은 코드 안에서 오타도 함께 발견됐다. 카스퍼스키는 AI가 생성한 결과물을 사람이 수동으로 수정한 것으로 보인다고 해석했다. AI 활용은 초기 단계로 추정되지만 김수키의 도구 진화 방향을 보여주는 중요한 단서라고 카스퍼스키는 분석했다.</p> <p contents-hash="41b241c2a0cb9998f67079c9c5b81361ef83ca7c18a7de52d84bca65722965e2" dmcf-pid="udReo4Q9Cc" dmcf-ptype="general">구글 위협인텔리전스그룹(GTIG)도 북한 연계 해킹그룹 ‘APT45’의 AI 활용 사례를 공개했다. APT45는 수천 건의 반복 프롬프트를 AI 모델에 입력해 보안 취약점(CVE)을 분석하고, 공격 코드의 실행 가능성을 자동으로 검증했다.</p> <p contents-hash="57ce5418493ceb525be36fe6cab972ac05a983fba0a17ceb239de8b55d3ecd8f" dmcf-pid="7Jedg8x2SA" dmcf-ptype="general">GTIG는 “AI 지원 없이 관리가 불가능한 규모의 취약점 무기고를 구축하고 있다”고 평가했다. 사실상 북한 해킹 그룹들이 AI를 통해 공격을 자동화하고 있는 셈이다.</p> <p contents-hash="bd9f1e7a73cf47c2622a1e95cfd174c0348dd0e6f47c353ed274fe15d9f85e09" dmcf-pid="zidJa6MVyj" dmcf-ptype="general">보안업계는 북한 해킹 조직이 AI로 기존의 약점을 보완할 것으로 본다. 코딩 작업 자동화로 악성코드 품질이 높아지고, 한국어 피싱 메시지 생성도 정교해질 수 있다는 것이다.</p> <p contents-hash="d3a7fb60f86ee7a1a19dfdabfb5f677970f60d22e9421979f4eee28adde84fc5" dmcf-pid="qnJiNPRfSN" dmcf-ptype="general">공격 방식과 표적의 범위도 진화하고 있다. 김수키는 최근 정식 개발도구인 마이크로소프트(MS)의 비주얼 스튜디오 코드 원격 터널링 기능과 원격관리 도구 DW에이전트를 침투 후 활동에 적극 활용하고 있다. 표적 범위는 군·정부 인사. 통신사 직원 등으로 확대됐다. 최근 사용한 악성코드는 정부 전자인증서 저장 경로를 탈취하는 기능을 갖추기도 했다.</p> <p contents-hash="19c38d9454f828ef74e302637bcb4eead3fccedd7121a5ccb429c4317a95b8a4" dmcf-pid="BLinjQe4ya" dmcf-ptype="general">AI를 둘러싼 공급망 공격도 새로운 위협으로 떠올랐다. GTIG는 AI 모델 자체를 직접 침해하는 것은 어렵지만 주변의 커넥터와 응용프로그램인터페이스(API) 계층은 그렇지 않다고 분석했다.</p> <p contents-hash="07d96189b112a57da7e1e010c5914f85c53fd0c1b0e694c6daeac72c3048594f" dmcf-pid="bonLAxd8vg" dmcf-ptype="general">GTIG는 “이번 사건의 세부 내용보다 중요한 것은 적대 세력의 AI 활용 시대가 이미 도래했다는 것”이라며 “현재 확인한 AI 개발 제로데이는 빙산의 일각에 불과하고, 다른 사례가 존재할 가능성이 높다”고 경고했다.</p> <p contents-hash="1829fc405a9c7facbe709649c8afe1213e403c5d6034e6e1a8e3c052c4f467e7" dmcf-pid="KgLocMJ6ho" dmcf-ptype="general">김남석 기자 kns@dt.co.kr</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털타임스. 무단전재 및 재배포 금지.</p> 관련자료 이전 '인기가요' 라인업 에스파·투어스·엔믹스·자두 예고 05-17 다음 “공격자는 이미 내부에 있다”…존 킨더바그의 '제로 트러스트' 경고 05-17 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
