북한 배후로 알려진 해킹 조직이 인공지능(AI)으로 만든 딥페이크 이미지를 사용해 우리 군 관계 기관을 노린 사이버 공격을 감행한 것으로 확인됐다. 생성형 AI 기술이 악의적 목적에 활용된 첫 사례라는 점에서 사이버 보안 측면의 새로운 우려가 제기된다.
사건은 지난 7월, 보안업체 지니언스 산하 시큐리티 센터가 발표한 보고서를 통해 드러났다. 보고서에 따르면, 북한 관련 해킹 조직인 ‘김수키(Kimsuky)’로 추정되는 세력이 군무원 신분증 시안을 검토해달라는 내용의 피싱 메일을 군 관련 기관에 발송했다. 문제는 이 메일에 첨부된 신분증 시안 사진이 AI로 생성한 가짜 이미지, 즉 '딥페이크 이미지'였다는 것이다. 이처럼 특정 인물이나 기관을 사칭해 정보를 탈취하는 방식은 ‘스피어 피싱(spear phishing)’이라고 불리며, 높은 정교성과 맞춤형 공격으로 알려져 있다.
원래 군 공무원증은 국가에서 엄격히 보호하는 공적 문서로, 실제와 유사한 시안을 제작하는 것도 위법이 될 수 있다. 통상적으로 챗GPT와 같은 AI 서비스에 이 같은 문서 제작을 요청하면, 보안 등을 이유로 반려되는 것이 일반적이다. 그러나 북한 해커들은 ‘법적 용도가 아닌, 디자인 샘플 목적’이라는 식으로 AI 모델을 설득해 제한을 우회해 콘텐츠를 생성해낸 것으로 보인다. 이는 생성형 AI가 아직까지 정확한 맥락 판단이나 악용 탐지가 어려운 점을 악의적으로 활용한 사례로 분석된다.
또한 공격자들은 발신자의 이메일 주소까지 교묘하게 조작했다. 실제 군 기관의 도메인 주소 ‘mil.kr’ 대신, 알파벳 순서를 바꾼 ‘mli.kr’을 사용하는 수법으로 수신자를 속이려 한 사실도 밝혀졌다. 이러한 정교한 속임수는 수신자가 쉽게 속을 수 있게 만들며, AI가 신뢰도를 높이는 도구로 동원된 셈이다.
이와 유사한 정황은 해외에서도 포착됐다. 미국 AI 전문기업 앤트로픽은 최근 보고서를 통해 북한 해커들이 AI를 통해 가상 인물을 만들어 해외 정보기술(IT) 분야의 취업 과정에 활용했다고 밝혔다. 이들은 가짜 요원을 통해 입사한 뒤, 실제 업무도 AI로 처리한 것으로 조사됐다. 이는 북측이 외화 획득을 위해 국제 제재를 피하면서 기술력을 보완하려는 전략의 일환으로 해석되고 있다.
전문가들은 생성형 AI가 업무 효율성을 높이는 유용한 도구인 동시에, 보안 측면에서는 심각한 리스크로 작용할 수 있다고 경고한다. 지니언스 측은 AI 도입이 급증하는 상황에서 채용, 내부 업무, 정보 보안 등 모든 기업 활동에 대해 AI 남용 가능성을 감안한 대응 체계를 마련해야 한다는 입장을 밝혔다.
이 같은 흐름은 향후 사이버 전장에서 AI 기술이 공격과 방어 양 측에 모두 적극적으로 활용될 수 있다는 점을 보여준다. 이에 따라 기술적 진보와 함께 보안 정책과 감시 체계의 동반 강화가 필수적인 과제로 떠오르고 있다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>