북한과 연계한 공격 세력이 생성형 인공지능(AI)를 활용해 320개 이상 기업에 위장 취업한 것으로 확인됐다. AI의 발전에 따라 가짜 이력서나 딥페이크 인터뷰와 같은 새로운 전술을 통해 기업에 침투하고 있는 것이다.
사이버 보안 기업 크라우드스트라이크는 1일 이같은 내용을 담은 '2025 위협 헌팅 보고서'를 발표했다.
보고서에 따르면 공격자들은 생성형 AI를 무기화해 더 신속하고 광범위한 공격을 단행한 것으로 나타났다. 효율성 제고를 위해 AI 도입에 속도를 내고 있는 기업을 타깃으로 삼고 있다. 특히 AI 에이전트 개발 도구를 목적으로 접근 권한, 자격 증명을 탈취해 악성코드를 배포하는 사례도 늘어나고 있다.
실제로 북한 연계 공격 세력 '페이머스 천리마(FAMOUS CHOLLIMA)'는 생성형 AI를 활용해 내부자 공격 프로그램의 전 과정을 자동화했고, 이들은 지난해에만 320개 이상의 기업에 침투한 것으로 확인됐다. 이는 전년 대비 220%나 증가한 수치다.
이들은 AI 기반 가짜 이력서 작성, 딥페이크 인터뷰, 허위 신분을 통한 기술 과제 수행 등 새로운 전술을 통해 내부자 위협을 지속적으로 확장한 것으로 전해졌다.
뿐만 아니라 러시아 연계 공격 세력 ‘엠버 베어(EMBER BEAR)’는 친러시아 성향의 메시지를 확산시키는 등 정치적 공격을 일삼았으며, 이란 연계 공격 세력 ‘차밍 키튼(CHARMING KITTEN)’은 거대 언어 모델(LLM) 기반 피싱 미끼로 미국과 유럽 조직을 표적으로 삼았다.
크라우드스트라이크는 이같은 위협 행위자들이 AI 에이전트 개발 도구의 취약점을 악용해 인증 없이 접근하고, 자격 증명을 탈취하는 사례들이 늘어나고 있다고 밝혔다. AI 에이전트 혁실으로 기업의 보안 환경이 빠르게 변화하고 있는 만큼 자율형 업무 구조가 차세대 공격 표적으로 떠오르고 있다고 설명했다.
관련기사
- 세계 랜섬웨어 공격 급증...3년來 최다 5천건 돌파2025.08.25
- AI, 해커와 맞붙는다…기업들 '사이버 보안 에이전트' 전방 배치2025.08.11
- "내 AI가 공격 통로"···AI 통한 랜섬웨어 발견2025.08.31
- SK·삼성, 韓 대표 AI반도체 리벨리온 잡기 혼신2025.09.02
아울러 사이버 범죄 조직과 해커들이 AI를 악용해 스크립트를 작성하고 기술 문제를 해결해 악성코드를 개발하는 사례도 늘어나고 있다. 초기 침투부터 랜섬웨어 배포까지 불과 24시간이 걸리지 않은 사례도 확인됐다.
애덤 마이어스(Adam Meyers) 크라우드스트라이크 공격 대응 작전 총괄은 “공격자들은 생성형 AI를 악용해 사회공학 공격에 속도를 내고 있으며, 기업이 도입한 AI 시스템을 주요 표적으로 삼는다”며 “이들은 SaaS 플랫폼, 클라우드 콘솔, 고급 권한 계정을 노리는 동일한 방식으로 AI 에이전트를 공략한다. 향후 사이버 보안의 핵심은 기업이 자사 AI를 어떻게 보호하느냐에 달렸다”고 말했다.
