북한 해커, 인공지능(AI) 도입으로 사이버 공격 강화

마이크로소프트는 최근 보고서를 통해 북한과 연관된 국가 지원 해커 집단이 인공지능(AI)을 활용하여 작전 효율성과 성공률을 높이고 있다고 밝혔다. 보고서는 "이들은 대형 언어 모델(LLM) 기반 AI 도구를 활용하여 스피어 피싱 공격의 효율성과 성공률을 높이는 방법을 배우고 있다"고 언급했다.

그룹 "에메랄드 슬리트" 스피어 피싱 공격에 AI 활용

특히 마이크로소프트는 "에메랄드 슬리트"(Emerald Sleet, Kimsuky, TA427)라는 악성 코드 그룹이 한반도 전문가들을 상대로 한 스피어 피싱 공격을 강화하기 위해 LLM을 사용하는 것으로 파악됐다"고 지적했다.

이 악성 코드 그룹은 최신 AI 기술을 활용하여 조직 및 북한 전문가들을 탐지하고 취약점을 연구하는 것으로 보인다. 이는 영향력 조작 작전에 AI 생성 콘텐츠를 활용하는 중국 해킹 집단과 유사한 행태이다.

마이크로소프트는 "이들은 LLM을 활용하여 기술 문제 해결, 기본 스크립팅 작업 수행, 스피어 피싱 메시지 작성 등에도 활용하고 있다"면서 "협력 업체인 OpenAI와 함께 해당 악성 코드 그룹과 관련된 계정 및 자산을 차단했다"고 부언했다.

기업 보안 회사인 프루프포인트(Proofpoint)는 지난 주 발표한 보고서에서 "이 그룹은 장기적인 정보 교류를 위해 대상자와 접촉을 쌓기 위해 무해한 대화 시작 캠페인을 실시한다"고 설명했다.

김수키(Kimsuky)의 공격 기법은 싱크 탱크 및 비정부 기구 관련 인물을 가장하여 이메일 신뢰성을 높이고 공격 성공 가능성을 늘리는 것이다.

하지만 최근 몇 달 동안 이 국가 스폰서 해커 집단은 느슨한 도메인 기반 메시지 인증, 보고, 준수(DMARC) 정책을 악용하여 다양한 인물을 가장하고 웹 비콘(추적 픽셀)을 삽입하여 대상자 프로파일 작성을 시도하고 있다. 이는 그들의 전술 조정 민첩성을 나타낸다.

프루프포인트는 "웹 비콘은 대상 이메일의 활성 여부를 확인하고 수신자 네트워크 환경에 대한 기본 정보(외부 노출 IP 주소, 호스트의 사용자 에이전트, 이메일 열람 시간 등)를 수집하기 위한 초기 정찰 목적으로 사용되는 것으로 추측된다"고 말했다.

사이버 보안

북한 해킹 그룹은 또한 가상 화폐 절도와 공급망 공격에도 지속적으로 관여하고 있다. 탐지 코드명 "제이드 슬리트"(Jade Sleet)는 2023년 6월 에스토니아 가상 화폐 기업에서 최소 3,500만 달러를, 7월에는 싱가포르 가상 화폐 플랫폼에서 1억 2,500만 달러 이상을 도난한 사건과 관련이 있는 것으로 추정된다.

트레이더 트레이터(TraderTraitor) 및 UNC4899와 일부 중복되는 제이드 슬리트는 2023년 8월 온라인 가상 화폐 카지노를 공격했으며, 가짜 깃허브 저장소와 악성화된 npm 패키지를 활용하여 가상 화폐 및 기술 기관 직원들을 노획하는 것으로도 관찰되었다.

또 다른 사례로 2023년 8월 독일 IT 기업이 "다이아몬드 슬리트"(Diamond Sleet, 라자루스 그룹)에 의해 공격 당했으며, 2023년 11월에는 대만에 본사를 둔 IT 회사의 애플리케이션을 무기화하여 공급망 공격을 수행했다.

마이크로소프트 위협분석센터(MTAC)의 클린트 왓츠(Clint Watts) 총괄 매니저는 "이는 미국, 한국, 일본에 대한 정보 수집 외에도 주로 무기 프로그램에 대한 수익을 창출할 것"이라고 말했다.

새로운 공격 캠페인 및 공격 기법

마이크로소프트는 또한 북한 해커들이 새로운 공격 캠페인과 공격 기법을 개발하고 있다고 밝혔다.

새로운 Konni 캠페인: 최근에는 "Konni"(Vedalia)라는 악성 코드 그룹이 Windows 바로가기(LNK) 파일을 사용하여 악성 코드를 전파하는 새로운 캠페인을 시작했다.

이 악성 코드 그룹은 원래 .lnk 확장자를 숨기기 위해 이중 확장자를 사용하고, 악성 명령줄을 숨기기 위해 LNK 파일에 과도한 공백을 포함하는 것으로 관찰되었습. 공격 벡터의 일환으로 명령줄 스크립트는 PowerShell을 검색하여 감지 우회하고 내장된 파일과 악성 코드를 찾았다.

복잡한 공격 기법: 라자루스 그룹은 Windows 및 macOS에서 각각 Windows Phantom DLL Hijacking 및 Transparency, Consent, and Control(TCC) 데이터베이스 조작과 같은 복잡한 방법을 사용하여 보안 보호 장치를 약화시키고 악성 코드를 설치하는 것으로 유명하다.

이러한 공격 기법으로 인해 라자루스 그룹은 정교하고 포착하기 어려운 것으로 평가받고 있다.

북한 해커들은 인공지능(AI)을 활용하여 공격 효율성과 성공률을 높이고 있으며, 새로운 공격 캠페인과 공격 기법을 개발하고 있다. 이는 사이버 보안 전문가들에게 심각한 위협이며, 기업과 조직은 이러한 위협에 대비하기 위한 적절한 보안 조치를 마련해야 한다.