북한 해커조직, AI로 위장취업까지…320개 기업 뚫렸다

북한의 사이버 공격 조직인 '페이머스 천리마'가 인공지능 기술을 전략적으로 활용해 지난해에만 320개 이상의 기업 네트워크에 침투한 것으로 드러났다. 정교한 전술과 AI 기반 자동화 기술을 결합한 점이 기존 방식과 차별화되며, 보안 업계의 경고가 잇따르고 있다.

1일 미국 사이버 보안 기업 크라우드스트라이크는 ‘2025 위협 헌팅 보고서’를 통해 이 같은 사실을 공개했다. 보고서에 따르면 페이머스 천리마는 생성형 AI(인공지능)를 이용해 이력서 작성, 면접 응대, 업무 커뮤니케이션 등 회사 내부자가 하는 일련의 활동을 정밀하게 모방하는 동시에, 위장 취업을 통해 기업 시스템에 침투하는 방식을 사용했다. 특히 AI 기술을 접목함으로써 이 과정을 자동화하고 공격 속도를 높였다는 설명이다.

페이머스 천리마는 위장 취업 시 영어 능력이 부족함에도 불구하고 생성형 AI 기반 번역 도구와 코드 에이전트를 적극 활용해 정상적인 노동자로 위장해 일상 업무를 해냈다. 이는 단순한 해킹 수준을 넘어, 애초부터 조직 내부로 들어가 정보에 접근하는 방식으로 위협 수위를 크게 높이는 형태다. 실제로 이들은 영상 면접 과정에서 얼굴 위조 기술인 '딥페이크'와 AI 얼굴 합성 앱을 사용해 자신의 정체를 감췄다.

크라우드스트라이크는 이러한 방식이 기존의 사이버 공격 행태와는 차별화된 새로운 위협이라고 분석하고 있다. 특히 AI 기술을 활용하면서 내부자 위협이 사실상 외부 공격의 일환으로 둔갑하게 됐고, 이로 인해 기업의 자율 시스템과 내부 자료가 해킹의 주요 목표가 되고 있다는 점에서 경각심이 요구된다는 입장을 밝혔다. 공격자들이 AI 개발 도구의 보안 취약점을 파고들어 악성 코드를 배포하는 사례도 급증 중이다.

이번 보고서에는 페이머스 천리마 외에도 러시아와 이란의 연계 해킹 조직들도 함께 소개됐다. ‘엠버 베어’는 친러시아 성향의 허위 정보를 퍼뜨리는 공격을 감행했으며, ‘차밍 키튼’은 대형언어모델(LLM)을 활용한 피싱 기법으로 유럽과 미국의 조직을 노렸다. 이는 AI 기술이 각국의 사이버 안보에 미치는 파급력이 점점 커지고 있음을 방증하는 사례다.

이 같은 추세는 향후 사이버 전장이 더욱 정교해지고, AI 기술을 매개로 한 조직 간 정보전 양상이 고도화될 가능성을 시사한다. 동시에 각국 정부와 민간 기업은 기존 보안 시스템을 뛰어넘는 초개인화된 위협에 대응하기 위한 방어 기술 강화가 시급해졌다는 평가가 나온다.