“최근 북한과 관련된 해킹 단체가 한국 방위 산업과 반도체·자동차 산업을 공격했습니다. 돈 벌려고 했다기보다 전통적인 간첩·첩보 활동이었던 것 같아요. 기밀이나 산업 지식을 찾는 듯했어요. 한국 정부를 목표로 한 적도 있습니다.”
루크 맥나마라 구글클라우드 수석연구원은 19일 서울 강남구 구글클라우드 한국지사 사무실에서 열린 기자간담회에서 이같이 밝혔다.
맥나마라 연구원은 “세계적으로 국방비 지출이 늘고 있다”며 “사이버 공격자는 새로운 군사 기술이 어떻게 개발되는지, 누가 쓸지 알려고 한다”고 말했다. 그러면서 “한국 방산의 잠재 구매자가 누군지 북한이 찾고자 할 것”이라며 “방산과 더불어 한국 정부도 목표물”이라고 전했다.
북한 관련 단체가 금전을 갈취할 목적으로 공격하기도 한다. 가상화폐가 생기면서 두드러졌다. 지난해에는 북한 해킹 단체가 이더리움을 2조원어치 훔친 사실이 드러났다. 맥나마라 연구원은 “북한은 암호화폐와 아울러 암호화폐 거래소와 사용자도 표적으로 삼는다”며 “관련 기업이나 거래소는 북한을 주의해야 한다”고 경고했다. 그는 “북한 해커는 암호화폐를 잘 안다”며 “암호화폐가 혁신할 때마다 이해한다”고 평가했다.
북한에서 정보기술(IT)을 공부한 사람이 해커가 되기도 한다. 맥나마라 연구원은 “북한 IT 인력이 해킹하거나 취업해 번 돈을 북한 정권으로 보내는 게 목적”이라며 “중개인(Broker)과 공조한다”고 언급했다. 그는 “브로커는 북한 정권을 위하는 일이라곤 모른 채 가담하는 경우가 많다”며 “북한 IT 인력이 다른 나라에서 취업하게끔 돕거나 은행 계좌 만들기를 돕는다”고 설명했다. 또 “북한 IT 인력은 브로커에게 수수료 주고, 월급은 다른 계좌 통해 받아 돈세탁한다”며 “이들이 방산업체에서 일하면 스파이가 되는 셈”이라고 지적했다. 이어 “북한 IT 인력 정체가 들켜 해고돼도 ‘비트코인을 주지 않으면 민감한 인터넷프로토콜(IP)을 공개하겠다’고 협박하는 메일을 전 직장에 보낸 사례가 있다”며 “면접에서 카메라 녹화를 거부하거나 회사 공식 메일이 아닌 다른 연락처로 취업 서류를 주고받자는 구직자를 기업 인사 담당자는 의심해야 한다”고 조언했다. 다만 “북한 IT 인력이 한국에서 공격한 일은 아직 없다”고 선을 그었다.
관련기사
- 중고거래 사기꾼 "토스 싫어, 다른 계좌로"…왜?2025.03.06
- [보안 초짜기자 해킹 체험기] 누구나 해킹?···"아무나 못해"2025.02.08
- "이렇게 하면 털린다"···GS리테일·듀오 해킹 사건 보니2025.03.01
- 넥슨 '메이플스토리' 해킹 후…범죄기록부 쓴 AI스페라2025.03.06
해커는 구글 ‘제미나이(Gemini)’ 같은 생성형 인공지능(AI)으로 생산성을 끌어올리는 것으로 알려졌다. 맥나마라 연구원은 “북한을 비롯해 중국·이란 지능형 지속 공격(APT) 단체들이 제미나이를 악용한다”며 “정보를 모으고, 보안 취약점을 찾고, 피싱하고 개인정보를 탈취할 질문을 하거나, 딥페이크 이미지를 만들 때 쓴다”고 분석했다.
그는 “1년 뒤에도 해커가 AI를 지금과 똑같이 쓸지, 다르게 활용할지 구글클라우드가 연구하겠다”며 “보안 담당자가 생성형 AI로 새로운 전술을 알아채고 빠르게 대응한다면 공격자와 격차를 줄일 수 있지 않겠느냐”고 되물었다.
