북한 해킹 조직이 18개월마다 공격 전술을 통째로 바꾸는 전례 없는 혁신 속도로 사이버 위협의 판을 뒤흔들고 있다고 구글 클라우드의 사이버 보안 전문가가 경고했습니다. 제이미 콜리어 구글 클라우드 유럽·중동·아프리카(Europe, Middle East and Africa) 담당 수석 위협 정보 고문을 조상진 기자가 인터뷰했습니다.
콜리어 고문은 VOA와의 화상 인터뷰에서, 러시아·중국·이란과 달리 북한은 전술이나 기법을 바꾸는 수준이 아니라 공격의 범주 자체를 바꾼다고 강조했습니다.
10년 전 SWIFT 금융망 공격에서 랜섬웨어, 가상화폐, IT 위장취업으로 이어지는 완전히 다른 범주의 공격들은 어떤 다른 국가에서도 볼 수 없는 방식이며, "18개월마다 전술 체계를 통째로 바꾸기 때문에 북한으로부터 다음에 무엇이 올지 예측하기 어렵다"는 지적입니다.
콜리어 고문은 구글 위협정보그룹(GTIG)이 발간한 "DPRK IT 노동자: 확대되는 범위와 규모(DPRK IT Workers: Expanding in Scope and Scale)"를 포함한 다수의 북한 사이버 위협 관련 보고서를 공동 저술했으며, 구글 클라우드 사이버보안 전망 2025(Cybersecurity Forecast 2025) 보고서에도 핵심 분석가로 참여하는 등 북한 해킹 위협을 집중 분석해 왔습니다.
콜리어 고문은 또 북한이 번역과 피싱 콘텐츠 제작을 넘어 이제는 가상화폐 업계 저명 인사를 사칭하는 딥페이크 영상까지 제작하고 있다며, "AI를 활용하려는 북한의 능력과 의도가 명백히 고도화됐다"고 강조했습니다.
북한 해커들은 텔레그램이나 이메일 계정을 탈취해 신뢰감을 조성한 뒤 피해자를 가짜 화상 회의로 유인하는 수법을 쓰고 있으며, 화상 통화 중 오디오 문제를 해결해 준다는 명목으로 특정 명령어를 실행하도록 유도하는 이른바 '클릭픽스(ClickFix)' 기법이 가장 명확한 위험 신호라는 지적입니다.
딥페이크를 활용한 사회공학 공격이 아직 대규모로 확산된 단계는 아니지만, 이제 본격적인 '시작 단계'에 접어들었다며, 이 방식이 북한을 넘어 랜섬웨어와 사이버 범죄 조직들로 빠르게 확산될 것이라고 경고했습니다.
북한이 가상화폐를 집중 공략하는 이유에 대해서는 막대한 자금이 유통되고 익명성과 자금세탁 인프라가 갖춰진 데다 보안 의식이 부족한 스타트업이 많아 편리한 표적이 된다고 분석했습니다. 또 이를 통해 얻은 수익은 북한 정권을 유지하는 데 사용된다고 덧붙였습니다.
콜리어 고문은 북한의 사이버 위협 대응책으로 방어자들도 AI를 적극 활용하는 동시에 위협 중심의 보안 전략을 수용해야 한다고 촉구했습니다.
VOA 뉴스