북한 연계 해킹 조직이 인공 지능 기술로 기존 인물의 얼굴이나 특정 부위를 합성한 영상 편집물을 만드는 AI 딥페이크 기술을 활용해 암호화폐 기업 경영진을 사칭하고 악성코드를 유포하는 정교한 공격을 감행하고 있다고 구글이 경고했습니다.
세계 최대 인터넷 기업인 구글 산하 사이버 보안업체 맨디언트(Mandiant)는 최근 발표한 분석 보고서에서 북한 연계 해킹 조직 'UNC1069'가 암호화폐 및 핀테크 기업을 대상으로 AI 딥페이크 기술을 활용한 고도화된 사회공학적 공격을 전개하고 있다고 밝혔습니다.
맨디언트에 따르면 공격자들은 이미 해킹된 암호화폐 기업 임원의 텔레그램 계정을 도용해 피해자에게 접근한 뒤 신뢰를 쌓고 미팅을 제안했고, 특정 링크를 통해 피해자를 가짜 줌 회의 사이트(zoom.uswe05.us)로 유도했습니다.
아울러 피해자가 회의 중 상대방 최고경영자(CEO)의 영상을 볼 수 있도록 해 신뢰를 형성했지만, 이는 딥페이크로 생성된 가짜 영상이었다고 지적했습니다.
공격자들은 또 회의 중 오디오 오류를 가장해 피해자가 직접 문제 해결을 위한 '명령어'를 실행하도록 유도했으며, 이 명령어는 실제로는 악성코드를 설치하는 스크립트였던 것으로 드러났습니다.
맨디언트는 "UNC1069가 단순 생산성 도구로 AI를 사용하던 단계를 넘어, 딥페이크 영상 생성 등 실제 공격 미끼 제작에 AI를 적극 활용하는 단계로 진화했다"고 분석했습니다.
맨디언트는 UNC1069의 공격 패턴, 사용된 악성코드의 특성, 표적 선정 방식 등이 북한 해킹 그룹의 전형적인 특징을 보인다며 북한과의 연계성을 지적했습니다.
특히 이 그룹이 2023년부터 암호화폐 생태계를 집중적으로 공격해온 점은 북한이 국제 제재를 우회해 외화를 확보하려는 전략과 일치한다고 맨디언트는 설명했습니다.
맨디언트는 "이들이 암호화폐 업계를 표적으로 삼는 것은 추적이 어려운 디지털 자산을 탈취해 북한 정권의 대량살상무기(WMD) 개발과 기타 불법 활동 자금으로 전용하려는 목적"이라고 지적했습니다.
앞서 미국 연방수사국(FBI)과 재무부는 북한 해킹 그룹들이 암호화폐 거래소와 탈중앙화 금융(DeFi) 플랫폼을 공격해 수십억 달러를 탈취했으며, 이 자금이 북한의 핵무기 및 탄도미사일 프로그램에 사용되고 있다고 여러 차례 경고한 바 있습니다.
VOA 뉴스
Forum