북한 정부가 지원하는 해킹 조직들이 생성형 인공지능을 조직적으로 악용하고 소프트웨어 공급망을 집중 공략해 사이버 금융 범죄 역사상 최대 규모의 암호화폐를 탈취했다고 사이버 보안 전문 기업 크라우드스트라이크가 밝혔습니다.
크라우드스트라이크는 24일 공개한 '2026 글로벌 위협 보고서'에서 '천리마(CHOLLIMA)'라는 이름의 북한 연계 해커 조직의 활동이 국제 법 집행 기관의 강력한 제재에도 불구하고 지난2025년 한 해 동안 급격히 증가했다고 분석했습니다.
보고서는 특히 '프레셔 천리마(PRESSURE CHOLLIMA)'가 지난해 2월 감행한 역대 최대 규모의 단일 사이버 금융 범죄에 주목하고, 이 조직이 소프트웨어 공급망 공격을 통해 14억 6천만 달러 상당의 암호화폐를 탈취했다고 지적했습니다.
이들이 사회공학적 기법을 이용해 소프트웨어 개발자의 개발 관련 접속 권한을 빼냈고, 이 권한을 악용해 중앙화 암호화폐 거래소 '바이비트(Bybit)'의 인프라에 침투한 뒤 암호화폐를 자신들의 가상 지갑으로 이체했다는 설명입니다.
아울러 자금 이체 직후 삽입했던 악성 코드를 즉시 원래 버전으로 복구해 탐지를 피하는 치밀함도 보였다고 지적했습니다.
보고서는 또 다른 북한 해킹 조직인 '페이머스 천리마(FAMOUS CHOLLIMA)'의 2025년 활동량도 전년 대비 두 배로 급증했다고 분석했습니다.
이 조직은 챗GPT, 제미나이, 깃허브 코파일럿 등 생성형 AI 도구를 위장 취업 작전 전반에 걸쳐 적극 도입해 가짜 신원을 만들고, AI 코딩 보조 도구로 합법적인 개발자인 것처럼 위장해 탐지를 피한 것으로 나타났습니다.
보고서에 따르면 이 조직은 합법적인 채용 담당자로 위장해 소프트웨어 개발자들에게 접근한 뒤 채용 평가 명목으로 악성 코드를 다운로드하게 유도해 악성코드를 배포했으며, 이들이 유포한 악성 패키지는8천 회 이상 다운로드돼 대규모 2차 감염 피해로 이어졌습니다.
크라우드스트라이크는 북한 연계 해킹 조직들이 2026년에도 군사 정보 수집과 암호화폐 탈취, 수익 창출 작전에 우선순위를 두고 활동을 이어갈 가능성이 매우 높다고 전망했습니다.
그러면서 글로벌 핀테크 기업, 기술 기업, 서방 국방 관련 기관들이 이들의 심각한 표적이 될 수 있다고 경고하며, 소프트웨어 공급망 보안 강화와 함께 AI를 악용한 신종 사회공학 공격에 대한 철저한 대비를 촉구했습니다.
VOA 뉴스
Forum