북한 AI 해킹, 정부 GPKI까지 겨냥…사이버 안보 분기점 되나

북한 해킹 조직이 생성형 AI를 앞세워 한국 정부의 인증 체계와 내부망을 직접 겨냥하면서 사이버 위협이 새로운 단계로 들어섰다. 단순 정보 탈취를 넘어 ‘국가 인프라 교란’ 가능성까지 거론된다.

AI 결합한 해킹, GPKI 인증 체계까지 겨냥

글로벌 보안업체 카스퍼스키는 14일 북한 정찰총국 산하 해킹 조직 ‘김수키(Kimsuky)’의 최신 공격 전술을 공개했다. 보고서에 따르면 이들은 생성형 AI를 활용해 악성코드를 제작하고, 우리 정부의 공인 전자인증 체계인 ‘GPKI’ 저장 디렉터리를 직접 노리는 기능까지 포함시켰다.

공무원 계정 탈취와 함께 내부 행정망 침투 가능성이 실제 공격 시나리오 수준에서 확인된 셈이다.

공격 방식도 한층 정교해졌다. 김수키는 비주얼 스튜디오 코드(VSCode)의 ‘원격 터널’ 기능과 각종 원격 관리 도구를 악용해 통신을 정상적인 마이크로소프트 서버 트래픽처럼 위장하고 있다. 전통적인 보안 솔루션이 이상 징후로 인식하기 어려운 구조다. 기존의 피싱 중심 공격에서 벗어나, 정상 업무 환경 내부로 침투하는 방식으로 진화했다는 평가다.

“AI는 사이버 무기 증폭기”…APT45 자동화 공격 정황

AI는 생산성을 높이는 도구지만 동시에 공격자의 진입 장벽을 낮추는 ‘무기 증폭기’로 작용하고 있다. 구글 위협인텔리전스그룹(GTIG)은 북한과 중국 연계 조직들이 AI를 활용해 제로데이 취약점 탐지와 공격 자동화를 시도 중이라고 경고했다.

특히 북한 조직 APT45는 AI 모델에 수천 건의 프롬프트를 반복 입력해 공격 코드를 검증하고 취약점을 분석한 정황이 포착됐다.

과거 숙련 해커가 오랜 시간 수행하던 작업이 이제는 AI로 빠르게 반복된다. 악성코드 생성, 취약점 분석, 피싱 문구 작성, 내부망 탐색까지 자동화가 가능해지면서 공격 비용은 낮아지고 성공 확률은 높아지는 구조가 형성됐다. 국가 지원을 받는 북한 입장에서는 사실상 ‘사이버 전력 증강’ 효과다.

클릭픽스부터 위장 취업까지…지능형 침투 지속

김수키는 이미 수년 전부터 스피어 피싱과 사회공학 기법으로 한국의 외교·안보·공공기관을 집중 공격해 왔다. 최근에는 ‘클릭픽스(ClickFix)’처럼 사용자가 직접 명령어를 실행하게 유도하는 심리전 기법까지 등장했다.

또 해외 기업에 ‘위장 취업’ 형태로 침투해 내부망 접근 권한을 확보하는 방식도 병행되고 있다.

이 같은 흐름은 라자루스(Lazarus) 등 북한 주요 해킹 조직과도 맞물린다. 이들은 금융기관, 가상자산 거래소, 정부 시스템을 넘나들며 공격 범위를 넓혀왔고, 도구와 인프라를 공유하는 양상까지 보인다. 최근에는 암호화폐 탈취를 넘어 국가 핵심 시스템 교란으로 무게중심이 이동하고 있다는 분석이 나온다.

뒤처진 공공 보안…“인증서·폐쇄망 한계 분명”

문제는 국내 대응 체계가 이러한 변화 속도를 따라가지 못하고 있다는 점이다. 여전히 많은 공공기관이 인증서 기반 접근 통제와 폐쇄망 중심 보안에 의존하고 있다. 내부망 침투 이후 확산을 차단할 장치도 충분하지 않다는 지적이 이어진다.

지방자치단체, 공기업, 산하기관 등으로 갈수록 보안 투자 격차가 커지는 점도 취약 요인으로 꼽힌다.

AI 기반 공격은 단순 정보 유출을 넘어 행정·국방·에너지·금융 등 국가 기능 자체를 흔들 가능성을 내포한다. 디지털로 연결된 국가 구조에서는 사이버 공격이 곧 안보 위협으로 직결된다.

“사이버 안보 패러다임 전환 시급”

전문가들은 대응 전략의 근본적인 전환이 필요하다고 강조한다. 공공 인증 체계 전반 점검과 함께 ‘제로트러스트’ 기반 보안, AI 기반 탐지 시스템 도입, 민·관·군 실시간 위협 정보 공유 체계 구축이 핵심 과제로 꼽힌다.

공격자가 AI를 활용하는 상황에서 방어 체계가 인력 중심 대응에 머물 경우 대응 격차는 더 벌어질 수밖에 없다는 분석이다.

북한 해킹 조직의 AI 활용은 단순한 기술 변화가 아니라 사이버 안보 환경의 ‘질적 전환’을 의미한다. 대응이 늦어질수록 그 대가는 국가 전체로 확산될 가능성이 크다.