'생성형 AI 활용한 댓글 부대는 식별도 어려워'...진화하는 北 사이버 공격에 안보 전략 변화 필요성↑

북한을 비롯한 지정학적 위협 국가의 사이버 공격이 점점 고도화되면서 한국의 사이버안보 전략에도 변화가 필요하다는 지적이 나왔다. 

김재기 S2W 위협 인텔리전스 센터장은 7일 서울 여의도 국회에서 열린 국가 사이버안보 세미나에서 라자루스, 스카크러프트, 김수키 등 북한 지능형 지속 위협(APT) 그룹들의 사이버 공격 사례를 소개하며 "AI를 활용해 공격자의 생산성을 높이는 악의적 케이스도 포착되고 있다"고 강조했다. 사이버 공격의 진화 양상과 이에 대응하기 위한 국가 차원의 전략 전환이 필요하다는 설명이다.

국제질서전환기속국가전략포럼과 글로벌사이버안보포럼, 김민석·황정아·이정헌 국회의원이 공동주최한 이날 세미나에서 김재기 센터장은 '북한의 대남 사이버공격 기법 변화 및 대응'을 주제로 발제에 나서 북한의 지원을 받거나 북한을 배후로 둔 APT 해킹 조직을 조명하고, 이들이 다양한 방식을 통해 장기적이고 정밀한 사이버 공격을 수행해왔다고 부연했다.

대표적으로 라자루스 그룹은 정부, 방송사, 금융기관을 대상으로 사회적 혼란을 유도하는 공격을 주도해왔다. 2009년 7월 디도스 공격이나 2013년 3.20 사이버 테러 건, 2017~2019년 가상자산 거래소 해킹 사건이 유명하다.

스카크러프트 그룹은 북한 인권단체나 개인을 주요 타깃으로 삼아 정보 탈취 목적의 공격을 수행해왔다. 2022년 중앙선거관리위원회 보도자료를 사칭한 한글 문서에 악성 스크립트를 삽입해 피해자를 감염시키는 사회공학적 공격을 감행한 바 있다. 워터링홀 기법을 이용한 특정 안드로이드 단말기 대상 공격도 보고됐다.

김수키 그룹은 정부 기관, 인권단체를 겨냥해 퇴직자 ID, 정상 인증서를 악용한 피싱 공격을 감행해왔다. 21대 국회의원 선거 시기엔 특정 후보를 사칭한 공격을 감행하며 docx 확장자 기반의 선거 문서를 열람하면 악성코드로 중간명령제어(CnC) 서버와 통신해 감염 PC의 자료가 공격자에게 넘어가도록 하기도 했다.

최근에는 APT 조직이 생성형 AI를 공격 수단으로 활용하는 정황도 포착됐다. 마이크로소프트 위협 인텔리전스 센터(MSTIC)는 이들이 거대언어모델(LLM) 기반 도구를 통해 소셜 엔지니어링 문구를 작성하고 보안 취약점을 탐색하고 있다고 밝혔다. 

김재기 센터장은 "실제로 이들이 활용한 챗GPT 로그에는 북한 인구, 이더리움 시세, 금융 보안 솔루션 관련 검색 등도 포함돼 있었다"며 "안보뿐 아니라 대통령 선거처럼 시의성 있는 사회적 이슈를 악용해 피해자를 유인하거나 특정 타겟을 공격한 전례가 있어 민관 협력을 통한 선제대응 체계 마련과 위협 정보에 대한 지속적인 업데이트가 필요하다"고 덧붙였다.

전문가들은 AI 기반 방어 기술 강화와 함께 정책 및 가이드라인 마련, 일원화된 보안 거버넌스 마련이 필요하다고 입을 모았다.

이재흥 경기대 교수는 "이제는 댓글 수천 개도 생성형 AI를 활용해 각기 다르게 생성되므로 방어자 입장에서 식별이 매우 어려워졌다"며 ▲AI 악용 대응을 위한 선제적 규제체계 구축 ▲AI 보안 인프라에 대한 민관 투자 확대 ▲AI 신뢰성 확보를 위한 정책 및 가이드라인 마련 ▲국제 협력과 거버넌스 참여 확대가 필요하다고 제언했다.

전웅렬 광주대 교수는 "미국과 영국이 공격적인 사이버안보 전략을 구축한 가운데, 영국은 사이버 공간을 더 이상 회색지대가 아닌 자유민주주의 질서 확립의 공간으로까지 재정의하고 있다"며 "우리나라도 침해에 대한 관점을 사후 대응에서 사전 예방으로 전환하고, 일원화된 사이버 보안 거버넌스를 마련해야 한다"고 강조했다.

임경호 기자 lim@techm.kr