미국 사이버 보안 업체 센티넬원 산하 연구팀 센티넬랩스는 23일 보고서를 통해 애플 맥 운영체제(OS)를 겨냥한 악성 프로그램 '맥OS.개스라이트'를 분석한 결과를 공개하고, 이 악성코드가 북한과 연계된 사이버 활동의 일부라고 평가했습니다.
연구팀은 애플이 자체 보안 시스템을 통해 이 악성코드를 탐지한 규칙이 북한의 맥OS 해킹 활동과 연관된 코드명을 사용하고 있고, 같은 계열로 분류되는 또 다른 악성코드도 북한 연계 활동과 연관된 규칙에 의해 탐지됐다며 이번 공격을 북한 소행으로 추정했습니다.
보고서에 따르면 이번 악성코드의 핵심은 인공지능 언어모델, 즉 LLM 기반 보안 분석 도구를 속이는 기능입니다.
최근 보안 업체들은 수많은 악성코드를 빠르게 분류하고 분석하기 위해 AI 도구를 점점 더 많이 활용하고 있는데, ‘맥OS.개스라이트’는 바로 이 분석 과정에서 AI 도구가 "오류가 발생했다", "분석을 계속할 수 없다"는 식의 가짜 시스템 메시지 38개를 보도록 설계돼 있습니다.
AI가 이 메시지를 실제 시스템 명령으로 받아들이면 분석을 중단하거나 거부하게 되는데, 이는 악성코드 자체를 숨기는 것이 아니라 그것을 잡아내는 도구를 먼저 무력화하는 방식입니다.
이 악성코드는 광범위한 정보 탈취 기능도 갖추고 있는 것으로 나타났는데, 브라우저에 저장된 각종 데이터와 비밀번호, 인터넷 사용 기록, 설치된 프로그램 목록 등을 빼내고 텔레그램 메신저를 통해 공격자에게 전송했다고 보고서는 지적했습니다.
아울러 감염된 컴퓨터를 원격으로 조종하는 기능도 갖추고 있어 공격자가 피해자 시스템에 지속적으로 접근할 수 있는 것으로 확인됐습니다.
연구팀은 특히 이 악성코드가 제시하는 새로운 위협의 방향에 우려를 나타냈습니다.
지금까지 악성코드는 보안 프로그램의 탐지를 피하거나 분석 환경 자체를 교란하는 방식으로 진화해왔는데, 이번 악성코드는 분석가들이 사용하는 AI 도구를 직접 공략 대상으로 삼았다는 점에서 차원이 다르다는 지적입니다.
그러면서 보안 업계가 AI를 방어에 활용할수록 북한 연계 해킹 공격자들도 그 AI를 역이용하는 방향으로 진화하고 있다는 것을 보여주는 사례라고 평가했습니다.
센티넬랩스는 "AI 기반 분석이 일상화될수록 이를 역이용하도록 설계된 악성코드가 더 많이 등장할 것"이라고 경고하며, 보안 분석가들이 AI 도구에 입력되는 악성코드 내용을 명령이 아닌 적대적 데이터로 취급하는 방식으로 대비해야 한다고 강조했습니다.
VOA 뉴스
Forum