북한, 이란, 중국 관련 그룹들이 인공지능을 이용한 악성 소프트웨어 및 악의적인 활동 혐의로 지목됐다

구글의 위협 분석 그룹(GTAG)의 새로운 보고서에 따르면 북한, 이란, 중국 등 국가 지원 해커들이 인공지능(AI) 도구, 특히 구글의 제미니를 이용해 사이버 공격을 적극적으로 실험하고 최적화하고 있는 것으로 나타났습니다. 

구글은 여러 국가 연계 단체들이 자사의 대규모 언어 모델을 정찰, 사회 공학, 악성 소프트웨어 개발, 그리고 "정찰 및 피싱 미끼 제작부터 명령 및 제어(C2) 개발 및 데이터 유출에 이르기까지 작전의 모든 단계"를 강화하는 데 사용하는 것을 관찰했다고 밝혔습니다

보고서는 새롭고 정교한 AI 기반 공격의 증거를 발견했습니다. 또한 생성형 AI가 공격자들이 더 빠르고 정확하게 작업할 수 있도록 지원함으로써 악의적인 작전에 대한 기술적 장벽을 낮추고 있다고 경고했습니다.

가 발표한 유사한 경고를 바탕으로 작성되었으며 마이크로소프트 와 오픈AI, 이들 역시 국가의 지원을 받는 동일한 세 단체가 비슷한 실험을 진행하고 있다고 폭로했습니다.

또한, 클로드 AI를 개발한 앤트로픽은 AI를 이용한 공격을 탐지하고 대응하는 방법에 대한 보고서를 발표했는데, 북한과 연계된 단체들이 이 보고서에서 주요 악의적 행위자로 지목되었습니다.

북한 정부 관계자들이 인공지능에 주목하고 있다

구글은 최신 위협 인텔리전스 업데이트에서 TEMP.Zagros(MuddyWater라고도 함)라는 이란 그룹이 Gemini를 사용하여 학술 연구로 위장한 악성 코드를 생성하고 디버깅했으며, 최종 목표는 맞춤형 악성 소프트웨어를 개발하는 것이었다고 밝혔습니다.

그렇게 함으로써 의도치 않게 핵심적인 운영 세부 사항이 노출되었고, 이로 인해 구글이 자사 인프라의 일부를 교란할 수 있게 되었습니다.

중국과 연계된 공격자들이 제미니(Gemini)를 사용하여 피싱 공격을 개선하고, 표적 네트워크에 대한 정찰 활동을 수행하며, 침해된 시스템 내부에서 측면 이동 기법을 연구하는 것으로 밝혀졌습니다. 일부 사례에서는 클라우드 인프라, 쿠버네티스(Kubernetes), vSphere와 같은 생소한 환경을 탐색하기 위해 제미니를 악용하기도 했는데, 이는 기술적 영향력을 확대하려는 시도로 해석됩니다.

북한 해킹 조직들은정찰 및 피싱 공격 강화를 위해 AI 도구를 활용하는 모습이 포착되었습니다. 사회공학적 기법을 이용한 암호화폐 탈취 캠페인으로 악명 높은 한 북한 해킹 그룹은 제미니(Gemini)를 이용해 암호화폐를 훔칠 수 있는 코드를 작성하려 시도하기도 했습니다.

구글은 이러한 공격을 완화하고 관련된 계정을 폐쇄할 수 있었습니다.

사이버 방어의 새로운 지평

앤트로픽의 보고서는 2025년 8월에 발표되었으며, 국가 연계 행위자들이 AI를 오용하는 사례를 뒷받침하는 증거를 제공합니다. 보고서에 따르면 북한 공작원들은 앤트로픽의 클로드 모델을 사용하여 원격 근무 소프트웨어 개발자로 위장해 구직 활동을 벌였습니다.

그들은 해외 프리랜스trac을 따내기 위해 Claude를 사용하여 이력서, 코드 샘플, 기술 면접 답변 등을 생성했다고 합니다.

앤트로픽의 조사 결과는 AI를 이용해 일자리를 얻는 부정 행위를 밝혀냈으며, 이는 채용 기관의 더 큰 해킹 작전으로 이어질 수 있었습니다. 또한, AI 도구가 악의적인 행위자들에 의해matic으로 테스트되어 이득을 취하고 있다는 구글의 결론에도 동의합니다.

이번 조사 결과는 전 세계 사이버 보안 커뮤니티에 새로운 골칫거리를 안겨주고 있습니다. 보고서에서 드러났듯이, 인공지능 모델과 애플리케이션을 강력한 생산성 도구로 만드는 바로 그 기능들이 악의적인 공격 도구로도 사용되고 있으며, 기술이 더욱 발전함에 따라 공격자들도 이에 맞춰 더욱 정교한 공격을 펼칠 것입니다.

정부와 기술 기업들이 대응에 나서고 있으며, 이러한 조치들을 완화하기 위해 모든 이해관계자 간의 지속적인 협력이 앞으로 나아갈 길이 될 것입니다.