북한 연계 해커 조직이 생성형 인공지능(AI)을 활용한 위장 취업으로 지난해에만 320개 이상의 기업에 침투한 것으로 드러났다.글로벌 사이버 보안 기업 크라우드스트라이크는 1일 ‘2025 위협 헌팅 보고서’에서 “북한 ‘페이머스 천리마(FAMOUS CHOLLIMA)’는 지난해 가장 활발하게 활동한 해커 조직 중 하나로, 다른 국가 연계 세력보다 훨씬 빠른 속도로 작전을 전개했다”고 밝혔다.
보고서에 따르면 페이머스 천리마는 주로 북미, 서유럽, 동아시아의 대형 기업을 겨냥했다. 소프트웨어 개발자로 위장 취업해 네트워크와 시스템에 접근하는 방식으로만 320여개 기업을 뚫었는데, 이는 전년 대비 220% 급증한 수치다.
특히 이들은 생성형 AI를 광범위하게 동원해 공격 전 과정을 자동화했다. 가짜 이력서를 작성하고, 영상 인터뷰에서는 딥페이크와 얼굴 교환 애플리케이션을 사용해 신원을 속였다.
위장 취업에 성공한 뒤에는 허위 신분으로 기술 과제를 수행하며 내부자 위협을 확장했다. 보고서는 북한 해킹 조직이 영어에 능통하지 않음에도 생성형 AI 코드 에이전트와 생성형 AI 번역 도구로 일상 업무를 수행했다고 전했다.
또한 보고서는 전 세계 해커들이 생성형 AI를 무기화해 공격의 속도와 범위를 크게 확장하고 있다고 지적했다. 특히 AI 에이전트 개발 도구에 침투해 권한과 자격 증명을 탈취한 뒤 악성코드를 배포하는 사례가 증가하고 있다고 설명했다.
아울러 러시아 연계 세력 ‘엠버 베어’는 친러시아 성향 메시지를 확산시켰고, 이란 연계 세력 ‘차밍 키튼’은 거대언어모델(LLM)을 활용한 피싱 미끼로 미국과 유럽 조직을 겨냥했다고 소개했다.
애덤 마이어스 크라우드스트라이크 공격 대응 총괄은 “공격자들이 생성형 AI를 악용해 사회공학적 공격을 가속화하고 있으며, 기업이 도입한 AI 시스템을 새로운 주요 표적으로 삼고 있다”며 “이들은 서비스형 소프트웨어(SaaS) 플랫폼, 클라우드 콘솔, 고급 권한 계정을 노리는 동일한 방식으로 AI 에이전트를 공략한다”고 경고했다.
고송희 인턴기자 kosh1125@hankyung.com
관련뉴스
