[AI위클리] 북한 해킹조직 '천리마' 활동 급증…AI로 무장해 사이버 공격

 

디지털 세계의 밤은 결코 잠들지 않습니다. 우리가 스마트폰의 푸른 불빛 아래서 평온한 일상을 영위하는 순간에도, 보이지 않는 0과 1의 전쟁터에서는 국가의 근간을 흔드는 서늘한 공격이 이어지고 있습니다. 특히 최근 북한의 악명 높은 해킹 그룹 **‘천리마(Chollima)’**가 인공지능(AI)이라는 강력한 날개를 달고 활동 범위를 급격히 넓히고 있어 전 세계 보안업계에 비상이 걸렸습니다.

 

과거의 투박했던 공격 방식에서 벗어나, 이제는 거대언어모델(LLM)을 활용해 정교한 심리전을 펼치고 자동화된 코드 생성으로 방어벽을 무력화하는 이들의 행보는 단순한 기술적 진보를 넘어선 실존적 위협으로 다가오고 있습니다.

 

이번 주 AI위클리에서는 차갑고도 치명적인 AI 사이버 공격의 실태와 그 중심에 선 천리마 조직의 변화된 전략을 심층 분석합니다.

---

인공지능의 가면을 쓴 침입자: 천리마 조직의 AI 활용 전략 변화

과거 북한 해킹 조직의 피싱 메일은 어설픈 번역투와 문법 오류로 인해 비교적 쉽게 식별되곤 했으나, 이제 그 양상은 완전히 달라졌습니다.

 

천리마 조직은 챗GPT(ChatGPT)와 같은 고성능 AI 모델을 활용하여 원어민 수준의 자연스러운 비즈니스 이메일을 생성함으로써 타깃의 경계심을 완벽히 허물고 있습니다.

 

이들은 특정 기업의 임원이나 보안 담당자를 사칭할 때, 대상의 SNS 게시글과 과거 활동 이력을 AI로 분석하여 가장 설득력 있는 문체와 주제로 접근합니다.

 

단순히 언어적 정교함에 그치는 것이 아니라, 악성 코드 개발 프로세스 자체에 AI를 이식했다는 점이 더욱 치명적입니다. 기존에는 숙련된 해커가 며칠에 걸쳐 작성해야 했던 복잡한 페이로드(Payload)를 AI를 통해 단 몇 분 만에 생성하며, 보안 솔루션의 탐지를 피하기 위해 코드 구조를 실시간으로 변형하는 '다형성 악성코드' 기법을 고도화하고 있습니다.

 

이러한 기술적 도약은 북한이 국제 사회의 제재 속에서도 제한된 인력을 극대화하여 효율적인 사이버 전력을 구축하고 있음을 시사합니다.

• 사회공학적 기법의 진화: AI를 활용한 맞춤형 시나리오 작성으로 피싱 성공률 대폭 상승.
• 코드 자동 생성: 취약점 스캐닝 및 익스플로잇 코드 작성 시간의 획기적 단축.
• 탐지 우회 기술: AI 기반 가짜 데이터 생성으로 보안 관제 시스템의 혼란 야기.

---

딥페이크와 결합된 보이스 피싱: 신뢰의 영역을 파괴하는 새로운 위협

기술의 발전은 때로 인간의 가장 기본적인 감정인 '신뢰'를 무기로 활용하게 만듭니다.

 

천리마 조직은 타깃 인물의 음성과 외모를 복제하는 딥페이크(Deepfake) 기술을 사이버 공격의 핵심 수단으로 편입시키며 기존 보안 체계를 무력화하고 있습니다.

 

실제로 최근 보고된 사례에 따르면, 이들은 고위 간부의 목소리를 완벽하게 흉내 낸 AI 음성 변조를 통해 재무 담당자에게 거액의 송금을 지시하거나, 가상자산 거래소 직원을 대상으로 화상 회의 중 가짜 얼굴을 내세워 권한 탈취를 시도한 것으로 알려졌습니다.

이러한 공격은 기술적 방어벽보다 인간의 심리적 취약점을 파고든다는 점에서 방어가 매우 까다롭습니다.

 

우리가 화면 너머로 보고 듣는 것이 진실이 아닐 수 있다는 공포는 조직 내 소통 구조에 심각한 균열을 일으킵니다. 북한은 이를 통해 막대한 양의 외화를 벌어들이는 것은 물론, 주요 국가 기관의 기밀 정보를 탈취하는 데 주력하고 있습니다. AI가 생성한 가짜 현실은 이제 단순한 영상 조작을 넘어, 국가 안보를 위협하는 고도의 비대칭 무기로 자리 잡았습니다.

 

 

1. 음성 복제(Voice Cloning): 단 몇 초의 샘플만으로 특정인의 목소리를 완벽히 재현.
2. 실시간 안면 교체: 화상 회의 시스템 점유 후 타인으로 위장하여 접근.
3. 심리적 압박: 긴급한 상황을 연출하여 대상자가 이성적 판단을 내리기 전 행동하게 유도.

---

공급망 공격의 고도화: 오픈소스 생태계에 침투하는 AI 악성 루틴

전 세계 개발자들이 공유하는 오픈소스 생태계는 협력의 상징이지만, 천리마 조직에게는 가장 매력적인 침투 경로 중 하나입니다.

 

 

최근 이들은 AI를 활용해 수만 개의 오픈소스 라이브러리를 전수 조사하고, 아주 미세한 보안 허점이 있는 지점에 악성 코드를 삽입하는 '공급망 공격'을 강화하고 있습니다.

 

 

AI는 방대한 코드 사이에서 인간이 발견하기 어려운 논리적 오류를 찾아내며, 그 자리에 교묘하게 숨겨진 백도어(Backdoor)를 설치하는 데 최적의 성능을 발휘합니다.

 

 

한번 오염된 오픈소스 라이브러리는 이를 사용하는 수많은 기업과 정부 기관의 소프트웨어에 그대로 전파됩니다. 이는 마치 거대한

상수원에 독극물을 타는 것과 같은 파급력을 지닙니다. 천리마 조직은 특히 가상자산 관련 프로젝트와 국방 솔루션에 사용되는 특정 프레임워크를 집중적으로 공략하고 있으며, AI를 통해 자신들의 흔적을 지우는 안티-포렌식(Anti-Forensics) 기술까지 적용하고 있습니다. 우리가 매일 사용하는 소프트웨어의 안전성이 보이지 않는 곳에서 서서히 무너지고 있는 셈입니다.

"AI는 방어자에게는 방패가 되지만, 공격자에게는 그 어떤 장벽도 뚫을 수 있는 무한한 창이 될 수 있다."

---

가상자산 탈취의 연금술: 북한의 자금줄이 된 AI 기반 자동 해킹

국제 사회의 강력한 경제 제재 속에서 북한에게 사이버 공간은 유일한 숨구멍이자 거대한 현금 인출기와 같습니다.

 

천리마 조직은 AI 알고리즘을 통해 전 세계 가상자산 거래소와 DeFi(탈중앙화 금융) 프로토콜의 취약점을 24시간 감시하며 틈이 보이는 즉시 대규모 탈취를 감행합니다.

 

과거에는 수동으로 이루어지던 자금 세탁 과정조차 이제는 AI가 수천 개의 지갑 주소를 생성하고 쪼개어 전송하는 방식으로 자동화되어 추적을 더욱 어렵게 만들고 있습니다.

 

이들이 탈취한 자금은 미사일 개발과 통치 자금으로 유입되는 것으로 파악되며, 이는 전 세계 평화에 직접적인 위협이 됩니다. AI 기반의 '믹싱(Mixing)' 기술은 자금의 흐름을 안개 속으로 사라지게 만들며, 수사 기관의 분석 속도보다 훨씬 빠르게 진화하고 있습니다.

 

보안 전문가들은 북한 해킹 조직의 AI 활용 능력이 이미 정점에 도달했거나, 혹은 우리가 상상하는 것 이상의 지하 AI 모델을 구축했을 가능성을 경고하고 있습니다. 사이버 범죄가 단순한 일탈을 넘어 국가 차원의 전략 사업으로 변질된 현주소입니다.

---

결론: AI 전쟁의 시대, 우리는 어떻게 스스로를 지킬 것인가

인공지능이라는 거대한 물결은 우리에게 풍요를 약속했지만, 동시에 '천리마'와 같은 어둠의 세력에게는 보이지 않는 검을 쥐여주었습니다. 이제 사이버 보안은 단순히 방화벽을 높게 쌓는 차원을 넘어,

 

공격자의 AI에 맞설 수 있는 '방어적 AI(Defensive AI)' 체계를 구축하고 인간의 직관과 기술의 정교함을 결합한 다층적 방어 전략을 마련해야 하는 시점에 도달했습니다.

 

기술은 중립적이지만 그것을 사용하는 의도는 결코 중립적일 수 없음을 우리는 목격하고 있습니다.

정부와 기업, 그리고 개인은 각자의 위치에서 보안 의식을 재정립해야 합니다. 출처가 불분명한 메시지에 대한 경계는 물론, AI가 만들어낸 정교한 가짜 정보를 식별할 수 있는 리터러시 능력이 필수적입니다.

 

국가적으로는 동맹국 간의 실시간 위협 정보 공유 체계를 강화하고, 북한의 사이버 자금줄을 차단하기 위한 국제적 공조를 더욱 공고히 해야 합니다. 기술의 그림자가 짙어질수록 우리가 비추어야 할 보안의 등불은 더욱 밝아져야만 합니다.

---

핵심 Q&A (자주 묻는 질문)

Q1. 북한의 '천리마' 조직은 구체적으로 어떤 집단인가요? A1. 천리마(Lazarus Group의 하위 조직 혹은 별칭)는 북한 정찰총국 산하의 해킹 조직으로, 2014년 소니 픽처스 해킹, 2017년 워너크라이 랜섬웨어 사태 등의 배후로 지목된 세계 최고 수준의 사이버 공격 집단입니다.

Q2. AI를 활용한 사이버 공격이 왜 더 위험한가요? A2. AI는 공격의 속도, 규모, 정교함을 비약적으로 높여줍니다. 인간 해커가 수동으로 하던 작업을 자동화하여 동시에 수만 군데를 공격할 수 있으며, 방어 체계가 인식하기 힘든 변종 악성코드를 실시간으로 생성하기 때문입니다.

Q3. 딥페이크 보이스 피싱을 구별할 방법이 있나요? A3. 목소리만으로 판단하기는 매우 어렵습니다. 중요한 금전 거래나 정보 제공 요청이 올 경우, 반드시 미리 약속된 별도의 연락 경로를 통해 본인 확인을 거치는 '2단계 인증'의 습관화가 필요합니다.

Q4. 우리나라는 이러한 북한의 AI 해킹에 어떻게 대응하고 있나요? A4. 국정원과 과학기술정보통신부를 중심으로 AI 기반 보안 관제 시스템을 도입하고 있으며, 민관 합동 사이버 위협 대응 체계를 운영하여 실시간으로 공격 패턴을 분석 및 차단하고 있습니다.

Q5. 개인이 할 수 있는 가장 최선의 예방법은 무엇인가요? A5. 운영체제와 소프트웨어의 최신 보안 업데이트를 즉시 적용하고, 모든 계정에 다요소 인증(MFA)을 설정하는 것만으로도 대부분의 자동화된 AI 공격으로부터 스스로를 보호할 수 있습니다.

---

참고문헌

1. 한국인터넷진흥원(KISA), "2026년 사이버 위협 전망 보고서: AI와 하이브리드 공격의 부상".
2. Mandiant, "North Korean Cyber Operations: The Evolution of Chollima and AI Integration".
3. 금융보안원, "가상자산 및 금융권 대상 AI 기반 사회공학적 공격 실태 분석".

---