AI까지 동원한 北 해킹… 공격 86건, 산업계 초비상

국내 산업계를 겨냥한 북한 해킹 조직의 사이버 공격이 갈수록 정교해지면서, 정부와 기업들이 다층적 보안 대응 시스템 마련에 속도를 내고 있다. 최근에는 인공지능 기반 기술을 악용하는 수법까지 등장해 대응 여력이 시험대에 오르고 있다.

국내 보안기업 안랩이 발표한 ‘2025 사이버 위협 동향과 2026 전망’ 보고서에 따르면, 지난해 10월부터 올해 9월까지 1년 간 북한 소행으로 추정되는 지능형 지속 공격(APT, Advanced Persistent Threat)은 총 86건에 달했다. 이들의 표적은 단순히 정부나 국방기관에 국한되지 않고, 금융회사, 정보기술(IT)기업, 언론사 등으로 광범위하게 퍼져 있다는 점이 문제의 심각성을 보여준다.

보고서에 따르면 주요 공격 주체로는 북한 정찰총국 산하로 알려진 라자루스, 김수키, 안다리엘 등이 지목됐다. 라자루스는 주로 암호화폐를 노린 금전적 목적의 공격에 집중하며, 다양한 운영체제에서 작동하는 악성코드를 제작해 피해 대상을 노리는 방식이 확인됐다. 김수키는 표적형 이메일 사기인 스피어피싱을 활용, 실제 문서 양식을 모방한 악성 파일을 무기 삼아 침투를 시도하는 점이 특징이다.

이러한 해킹 수법은 단순한 기계적 감지로는 탐지가 어려운 사례가 증가하고 있다는 점에서 더욱 고도화된 위험으로 평가된다. 문서 제목과 내용, 발신 기관 이름, 파일 구성 방식까지 실제 서류와 거의 동일하게 위장해 보안 프로그램의 탐지 패턴을 우회하는 기술이 일상화되고 있다. 보안업계는 2025년 들어 이러한 위장 기법의 정교함이 한층 강화됐다고 분석했다.

여기에 최근 급격히 발전한 인공지능(AI) 기술이 새로운 위협 요소로 떠오르고 있다. 악성 문서 생성이나 피싱 메시지 작성 시 생성형 AI를 활용해, 실제 업무용 이메일처럼 자연스러운 문장을 구성하는 경우가 많아졌다. 공격자들은 AI 기반 자동화 도구로 수십에서 수백 개의 악성코드 변종을 짧은 시간 내에 만들어내며 보안 시스템을 교란시키고 있다.

이 같은 상황에 대응해 산업계와 정부는 보안 솔루션 고도화에 나서고 있다. 메일 첨부파일을 자동 분석하는 ‘메일 샌드박스’ 기술의 도입이 확산되고 있으며, 두 가지 이상의 인증 절차를 거치는 ‘다중 인증’ 시스템도 광범위하게 적용되고 있다. 특히 가상자산, 국방 산업, 공공 인프라 등 실질적 피해 가능성이 큰 분야를 중심으로 위협 정보 공유 체계가 강화되고 있고, 맞춤형 대응 매뉴얼도 개편 중이다.

전문가들은 사이버 공격 수법이 더욱 정밀해지고 자동화되는 흐름이 지속될 것으로 보고 있다. 앞으로는 공격 탐지 이전에 이상 징후를 빠르게 분석할 수 있는 기술과 조직 내 보안 의식 강화가 더욱 중요해질 것으로 전망된다. 사용자가 일상 업무에서 보안 규칙을 철저히 준수하는 것 역시 여전히 가장 기본적이고 강력한 방어 수단으로 꼽힌다.