[비즈니스포스트] 북한이 사이버 공격에 구글의 생성형 인공지능(AI) 모델 ‘제미나이’를 활용하고 있다는 주장이 나왔다.

루크 맥나마라 구글 위협인텔리전스 그룹 맨디언트 부수석 연구원은 19일 서울 강남구 구글클라우드 사무실에서 열린 ‘구글 클라우드 시큐리티데이 미디어 브리핑’에서 “북한 사이버 공격자들이 제미나이를 그들이 수행하는 활동을 최적화하고 효율성을 증대하는 데 활용하고 있다”고 말했다. 
 
북한을 포함해 중국, 이란 등 사이버 공격을 수행하는 국가들은 제미나이를 △정찰(정보수집) △취약점 연구 △피싱 및 개인정보 탈취/공격을 위한 텍스트 생성 △스크립트 작성 및 코딩(공격 행위를 수행하는 악성 코드 개발 포함) 등을 위해 활용하고 있는 것으로 분석됐다.

다만 사이버 공격에 생성형 AI가 활용되더라도 새롭거나 독보적 방식의 AI 기반 공격이나 악용 기법을 사용하는 위협 행위는 관찰되지 않은 것으로 파악됐다.

그는 “특정 보안 제품이나 소프트웨어에 있는 취약점을 더 잘 이해하기 위해 생성형 AI를 활용하는 경우도 확인했다”며 “공격자들이 AI를 활용하는 초기 단계이기 때문에 앞으로 이런 부분에 대한 이해도를 높일 필요가 있다”고 했다.

북한 사이버 공격의 차별점은 신분을 숨기고, 다양한 산업 분야의 기업에 고용돼 북한의 수익을 창출하는 데 기여하고 있다는 점이다.

북한 사이버 공격은 미사일 개발 프로그램과 정권 운영 비용에 대한 자금을 직접 조달하는 동시에 국제 사회의 제재를 피하기 위해 가상화폐 분야와 블록체인 플랫폼을 공격하는 데 집중되고 있는 것으로 분석됐다.

그는 북한 해킹 그룹의 가상화폐 기술에 대한 이해도가 높다고 평가했다. 

그는 “북한은 가상화폐 기업에 주된 공격자로 가상화폐 산업과 기술에 대한 이해가 높다”며“ 가상화폐의 새로운 기술이 계속 나왔는데, 기술 혁신이 있을 때마다 그것을 어떻게 악용할 수 있을지 분석해온 거 같다”고 말했다. 국내 제조 기업들이 한국에서 사이버 공격을 가장 많이 받는 산업군으로 꼽혔다.

구글클라우드에 따르면 지난 2년간 한국에서 사이버 공격자들의 추적 및 표적 활동의 영향을 가장 많이 받은 산업군은 제조업이었다. 금융 서비스와 미디어, 엔터테인먼트 산업이 그 뒤를 이었다.

방산 산업과 정부 기관을 향한 사이버 공격이 확대될 가능성이 있다고 전망했다.

그는 “방산 산업을 타깃으로 한 최근 사례들이 있다”며 “한국뿐 아니라 세계적으로 정부 기관이 굉장히 다양한 유형의 공격 타깃이 되고 있어, 이 부분을 눈여겨 봐야 한다”고 말했다.

그는 “지정학적 불안정성이 높아짐에 따라 정보적 우위를 굉장히 값싸게 차지하할 수 있는 방법으로 사이버 공격 활동이 더 많이 나타날 수 있다”고 말했다.

그는 “보안 방어를 맡은 담당자들이 제미나이를 통해 효율성을 증대하는 것처럼, 사이버 공격자들도 비슷한 방식으로 현재 제미나이를 사용하고 있다”며 “사이버 공격자들의 전술을 탐지하고, 대응하는 속도를 높이며, 보안 방어자들이 생성형 AI를 활용하는 것을 도와 공격자들과의 격차를 줄일 수 있도록 돕겠다”고 말했다. 조승리 기자