북한의 지원을 받는 해킹 그룹인 김수키(Kimsuky)가 ChatGPT를 이용해 가짜 한국 군인 신분증을 만들어 언론인, 연구원, 인권 운동가들을 대상으로 피싱 공격을 감행했다고 사이버 보안 회사 제니언스(Genians)가 밝혔습니다.
딥페이크 아이디가 포함된 이메일에는 수신자의 기기에서 정보를 탈취하도록 설계된 악성코드가 들어 있었습니다. 이 공격은 북한이 인공지능을 이용해 전 세계적인 첩보 활동을 벌이는 광범위한 사이버 작전의 일환입니다.
해당 피싱 이메일은 .mil.kr로 끝나는 실제 군 계정에서 온 것처럼 위장했습니다. 사진이나 신분증 이미지는 첨부되어 있지 않았습니다. 대신, 대상의 시스템을 감염시킬 수 있는 악성코드가 숨겨져 있었습니다.
ChatGPT 가짜 군인 신분증을 생성했음을 확인했습니다 . 신분증을 직접 생성하라는 요청에 대해 해당 도구는 처음에는 거부했지만, 연구원들은 요청 메시지 작성 방식을 변경하여 차단을 우회하는 데 성공했습니다.
프롬프트를 다시 작성하자 시스템은 피해자들이 내장된 악성 소프트웨어를 클릭하도록 유도할 만큼 충분히 그럴듯한 초안을 생성했습니다.
북한 해커들은 AI 도구를 이용해 가짜 이력서,dent, 악성 소프트웨어를 제작하고 있다
이러한 전략은 한국에만 국한된 것이 아니었습니다. 지난 8월, AI 기업 앤스로픽은 북한 해커들이 자사의 클로드 코드 모델을 이용해 미국 포춘 500대 기업에 원격 근무직을 지원하는 것을 발견했다고 밝혔습니다.
해커들은 클로드라는 아이디를 이용해 코딩 면접을 통과하고, 완벽한 경력 정보를 만들어내고, 심지어 채용된 후에는 기술 업무까지 수행했습니다. 이 작전을 통해 북한은 방화벽을 뚫지 않고도 미국 내 기업 시스템에 직접 접근할 수 있었습니다.
지난 2월, 오픈아이디는 북한과 연관된 계정들을 차단했습니다. 해당 계정들은 오픈아이디 도구를 이용해 가짜 이력서, 자기소개서, 소셜 미디어 게시물을 작성했는데, 이는 사람들이 의도적이든 아니든 북한 정권의 선거 운동을 돕도록 유도하기 위한 것이었습니다.
제니언스의 문종현 이사는 이러한 새로운 기술들이 북한이 해킹 과정의 모든 단계, 즉 계획 수립 및 도구 제작부터 피싱 및 사칭에 이르기까지 인공지능을 통합했음을 보여준다고 말했다.
문 교수는 "공격자들은 인공지능을 이용해 시나리오를 구상하고, 악성 소프트웨어를 작성하며, 심지어 모집 담당자로 위장할 수도 있다"고 말했다. 미국 정부는 북한의 사이버 공격이 더 큰 규모의 작전의 일부라고 밝힌 바 있다.
그들은 평양 정권이 해킹, 암호화폐 절도, 그림자 ITtrac을 이용하여 데이터를 수집하고, 정보를 수집하고, 국제 제재를 회피하면서 핵무기 프로그램을 지원하기 위한 자금을 마련하고 있다고 믿습니다.
2020년 미국 국토안보부는 김수키가 "북한 정권으로부터 전 세계 정보 수집 임무를 부여받았을 가능성이 매우 높다"고 설명하는 공식 경고문을 발표했습니다
이 단체는 2012년부터 활동해 왔으며 한국, 일본, 미국의 외교 정책 전문가, 싱크탱크, 정부 기관을 집중적으로 공격해 왔습니다.
대부분의 경우, 그들은 스피어피싱 이메일을 사용하여 시스템에 침입하고, 민감한 정보를trac, 핵 전략, 제재 및 지역 안보에 대한 고위급 논의를 trac.
미국과 한국 관리들은 위협이 고조되고 있다고 경고했습니다
제니언스 보고서는 최근 공격 대상자들이 신중하게 선택되었다는 사실도 확인했습니다. 해커들은 tron 연관이 있는 사람들을 표적으로 삼았습니다. 실제로 얼마나 많은 기기가 해킹당했는지는 아직 알려지지 않았습니다.
하지만 그들이 한국군 이메일 도메인을 사칭하고 겉보기에는 무해해 보이는 메시지에 악성코드를 삽입할 수 있었다는 사실은 이 방법이 얼마나 위험한지를 보여줍니다.
조사 과정에서 Genians는 해커들의 공격 방식을 재현하기 위해 ChatGPT를 직접 사용해 보았습니다. 그 결과, ChatGPT는 가짜 정부 신분증과 같은 불법 콘텐츠를 차단하도록 설계되었지만, 공격자들은 문구를 약간만 변경해도 이를 우회할 수 있다는 사실을 확인했습니다.
결과적으로, 너무 늦기 전까지는 전혀 의심스러워 보이지 않는 신분증 템플릿이 만들어졌습니다.
CISA, FBI, 그리고 CNMF는 북한 관련 민감한 분야에 종사하는 모든 사람들에게 보안을 강화할 것을 촉구했습니다. 이들은 김수키가 피싱, 가짜 모집책 계정, 그리고 도메인 위장을 이용해 네트워크에 침입하는 행위를 계속하고 있다고 경고했습니다.
그들의 주요 제안에는 다중 인증 활성화, 피싱 인식 교육 실시, 의심스러운 이메일에 대한tron강력한 필터 설정 등이 포함됩니다.
미국 정보기관은 오랫동안 사이버 작전이 북한이 제재를 우회하는 주요 수단 중 하나라고 밝혀왔습니다.
