무슨 일이 밝혀졌나
2026년 3월 6일, Microsoft가 "AI as tradecraft: How threat actors operationalize AI" 보고서를 발표했다. 이 보고서는 북한, 러시아 등 국가 지원 해커 그룹과 사이버 범죄 조직이 공격 라이프사이클 전반에 AI를 어떻게 활용하고 있는지를 실제 사례와 함께 분석한다.
핵심 발견 사항은 명확하다. AI는 더 이상 실험 수준이 아니라, 위협 행위자들의 **일상적인 작전 도구(tradecraft)**가 되었다. Microsoft에 따르면 BEC(비즈니스 이메일 침해) 이메일의 40%가 AI로 생성되고 있으며, 이는 기존 탐지 방식의 한계를 드러낸다.
공격 라이프사이클별 AI 활용
위협 행위자들은 공격의 거의 모든 단계에서 AI를 활용하고 있다. Microsoft가 식별한 주요 활용 패턴은 다음과 같다.
| 공격 단계 | AI 활용 방식 | 효과 | |-----------|-------------|------| | 정찰 | AI로 타겟 프로필 스크래핑·분석 | 수작업 대비 수십 배 빠른 정보 수집 | | 무기화 | AI 기반 피싱 이메일 작성 | 문법 오류 없는 자연스러운 미끼 생성 | | 전달 | AI 번역으로 다국어 공격 | 언어 장벽 없는 글로벌 공격 가능 | | 익스플로잇 | AI 코드 생성·악성코드 작성 | 개발 시간 단축, 빠른 변종 생성 | | 지속 | AI 디버깅·인프라 스크립트 생성 | 안정적인 C2 인프라 유지 |
특히 주목할 점은 에이전틱 AI(Agentic AI) 실험이 관찰되었다는 것이다. 일부 위협 행위자들은 AI 모델이 반복적인 의사결정과 작업 실행을 자율적으로 수행하도록 시도하고 있다. 아직 대규모는 아니지만, 이는 탐지와 대응을 더욱 복잡하게 만들 수 있는 신호다.
주요 위협 그룹 사례
Jasper Sleet (북한)
Jasper Sleet은 AI를 채용-유지-접근 남용 전 과정에 활용하는 것으로 알려졌다. 이 그룹은 AI로 가짜 이력서와 LinkedIn 프로필을 생성하고, 채용 면접에서 AI 기반 응답을 활용하며, 기업 내부 접근 권한을 얻은 후에는 AI를 사용해 데이터를 요약하고 내부 시스템을 분석한다.
IT Nerd에 따르면, 이는 단순한 해킹이 아니라 장기적인 침투 작전에 AI를 체계적으로 운용하는 사례다. 가짜 직원이 실제 기업에서 일하며 급여를 받고, 동시에 정보를 유출하는 구조가 AI로 인해 더욱 정교해졌다.
Coral Sleet (북한)
Coral Sleet은 AI 코딩 도구를 활용해 악성코드 컴포넌트를 생성, 정제, 재구현하는 그룹이다. RedPacket Security 보도에 따르면, 이 그룹은 AI를 통해 빠르게 능력을 성장시키고 있으며, 기존에 수주가 걸리던 악성코드 개발을 수일 내로 단축하고 있다.
AI 코딩 어시스턴트를 통해 코드 디버깅, 리팩토링, 새로운 기능 추가를 빠르게 수행함으로써, 보안 업체의 시그니처 기반 탐지를 지속적으로 회피하는 변종을 양산하고 있다.
기업과 개인의 대응법
AI 기반 위협이 일상화됨에 따라, 기존 보안 전략만으로는 충분하지 않다. 다음은 Microsoft 보고서와 보안 전문가들이 권고하는 대응 방안이다.
- AI 생성 피싱 탐지 강화 — AI가 만든 이메일은 문법이 완벽하므로, 발신자 도메인 검증과 링크 분석에 집중한다. 의심스러운 요청은 별도 채널로 확인한다.
- MFA(다중 인증) 전면 적용 — 비밀번호만으로는 AI 기반 크리덴셜 공격에 취약하다. 모든 업무 계정에 MFA를 활성화한다.
- 코드 리뷰 절차 강화 — AI 생성 악성코드는 정상 코드와 구분이 어렵다. 외부 의존성과 신규 코드에 대한 자동화된 보안 스캐닝을 도입한다.
- 에이전틱 AI 모니터링 — AI 에이전트가 시스템에서 비정상적인 반복 작업을 수행하는지 모니터링한다. API 호출 패턴과 자동화된 행동 감시를 추가한다.
- 채용 프로세스 보안 점검 — AI로 생성된 가짜 지원자를 식별하기 위해, 화상 면접 시 실시간 기술 검증과 신원 확인 절차를 강화한다.
참고 링크