“北해커 ‘킴수키’, 해킹 때 MS·오픈AI 제품 활용”

“北해커 ‘킴수키’, 해킹 때 MS·오픈AI 제품 활용”

입력 2024-02-15 06:21 수정 2024-02-15 06:43

북한 정찰총국 연계 해커조직 ‘킴수키’가 생성형 인공지능(AI) 챗GPT 개발사 오픈AI와 마이크로소프트(MS) 제품을 활용해 온 사실이 공식 확인됐다. 킴수키는 정보 수집을 위한 공격 대상 싱크탱크와 전문가를 식별하고, 이들을 유인하는 콘텐츠 제작 등에 MS·오픈AI 기술을 사용했다.

MS와 오픈AI는 14일(현지시간) ‘국가와 연계된 위협 행위자의 악의적인 AI 사용 차단’ 보고서를 통해 “에메랄드 슬릿은 당사 서비스를 사용해 아시아·태평양 지역의 방어 문제에 중점을 둔 전문가와 조직을 식별하고, 공개된 취약점을 파악하며, 피싱 캠페인에 사용할 수 있는 콘텐츠 초안을 작성했다”고 밝혔다.

이들은 에메랄드 슬릿에 대해 “2023년 한 해 동안 활발하게 활동한 북한 위협 단체”라며 ‘킴수키’(Kimsuky), ‘탈륨’, ‘벨벳’, ‘천리마’ 등의 이름으로 활동한 해커 집단과 행위자가 일치한다고 설명했다.

미 국토안보부 산하 사이버인프라보안국(CISA)은 킴수키가 2012년부터 글로벌 정보 수집 업무를 맡은 북한 해커 집단으로 한반도와 핵 정책, 대북제재 등과 관련한 정보수집 활동에 중점을 두고 있다고 밝힌 바 있다. 킴수키 공격 대상은 주로 한국 정부 기관과 한·미·일 전문가 및 집단이라고 CISA는 지목했다. 킴수키와의 연관성은 확인되지 않았지만, 윤석열 대통령의 지난해 11월 말 영국 국빈방문을 수행했던 대통령실 행정관 이메일이 북한 해커에 해킹당하기도 했다(국민일보 1월 14일 자 1면 참조).

MS 등은 보고서에서 킴수키가 평판이 좋은 학술 기관이나 NGO를 사칭해 북한 관련 외교 정책에 대한 전문적인 통찰력과 논평을 유인한 사실을 확인했다고 언급했다. 보고서는 국방 문제나 북한 핵무기 프로그램에 중점을 둔 북한 관련 싱크탱크, 정부 기관, 전문가 파악 등을 위해 오픈 AI의 챗GPT와 같은 대규모 언어모델(LLM)과 상호작용 했다고 설명했다. 킴수키는 스피어 피싱(특정인을 목표로 피싱 공격) 캠페인에 사용할 콘텐츠 제작, MS 제품의 취약점 파악, 웹 기술 사용과 기술적 문제 해결에도 이를 활용했다.

MS와 오픈AI는 킴수키 외에도 러시아군 연계 조직 포레스트 블리자드, 중국 연계 조직 차콜 타이푼과 사몬 타이픈, 이란 연계 조직 크림슨 샌드스톰 등이 자사 AI 제품을 활용한 사실도 확인해 관련 계정을 삭제했다.

오픈AI의 보안분야 책임자인 밥 로트스테드는 “적대국가와 연계된 해커들이 오픈AI를 활용해서 일반 검색엔진보다 참신하고 새로운 공격방법을 찾아냈다는 증거는 아직 발견되지 않았다”고 설명했다.

악시오스는 “이번 보고서는 AI 도구가 피싱 이메일과 멀웨어 작성을 도와 해커의 공격 속도를 높일 것이라는 전문가들의 예측과 일치한다”며 “AI를 이용한 사이버 전쟁은 머지않아 현실이 될 것”이라고 경고했다.

앞서 앤 뉴버거 백악관 국가안보회의(NSC) 사이버·신기술 부문 부보좌관은 지난 6일 워싱턴포스트(WP) 주최 ‘AI의 부상’ 대담에서 “역설적으로 북한은 신흥 기술을 이용하는 데 있어 가장 창의적이고 혁신적인 무리 가운데 하나”라며 “그들은 첨단 기술 사용에 있어 일반적인 예상과 달리 최첨단을 달리고 있다”고 우려했다.

워싱턴=전웅빈 특파원 imung@kmib.co.kr
많이 본 기사