북한 공격 세력 ‘페이머스 천리마’가 생성형 AI를 활용해 320곳 이상의 기업에 침투한 것으로 확인됐다.
글로벌 클라우드 기반 사이버보안 업체 크라우드스트라이크(CrowdStrike)가 전 세계 260개 이상 공격 세력을 추적한 ‘2025 위협 헌팅 보고서(2025 Threat Hunting Report)’를 공개했다.
보고서에 따르면 공격자는 생성형 AI를 무기화해 더 신속하고 광범위한 공격을 단행하고 있으며, 기업 운영을 재편하는 자율형 AI 에이전트를 주요 표적으로 삼고 있다. 특히 AI 에이전트 개발 도구를 목적으로 접근 권한, 자격 증명을 탈취해 악성코드를 배포하는 사례가 증가하고, 기업의 자율 시스템과 머신 아이덴티티가 핵심적인 공격 표적으로 부상했다.
대표적으로 북한 연계 해킹 집단인 페이머스 천리마(FAMOUS CHOLLIMA)는 생성형 AI를 활용해 내부자 공격 프로그램의 전체 과정을 자동화했다. 이들은 작년에만 320곳 이상의 기업에 침투했으며, 이는 전년대비 220% 증가한 수치다. AI 기반 가짜 이력서 작성, 딥페이크 인터뷰, 허위 신분을 통한 기술 과제 수행 등 새로운 전술을 통해 내부자 위협을 지속적으로 확장했다.
러시아 연계 공격 집단 엠버 베어(EMBER BEAR)는 친러시아 성향의 메시지를 확산시켰으며, 이란 연계 공격 집단 차밍 키튼(CHARMING KITTEN)은 LLM 기반 피싱 미끼로 미국과 유럽 조직을 표적으로 삼았다.
또한 크라우드스트라이크는 여러 위협 행위자가 AI 에이전트 개발 도구의 취약점을 악용해 인증 없이 접근하고 지속성을 확보하며, 자격 증명을 탈취하고 악성코드와 랜섬웨어를 배포하는 사례를 확인했다. AI 에이전트 혁신으로 기업의 보안 환경이 빠르게 변화함에 따라, 자율형 워크플로우와 비인간 신원이 차세대 공격 표적으로 떠오르고 있다는 분석이다.
사이버 범죄 집단과 해커가 AI를 악용해 스크립트를 작성하고, 기술 문제를 해결해 악성코드를 개발하는 사례도 증가했다. AI 기반 악성코드의 실질적인 위협을 보여주는 초기 사례로는 펑크락커(Funklocker)와 스파크캣(SparkCat)이 있다.
한편 스캐터드 스파이더(SCATTERED SPIDER)는 더 신속하고 공격적인 전술로 활동을 재개했다. 보이스피싱과 서비스 센터 사칭을 통해 자격 증명을 재설정하고 MFA를 우회했으며, SaaS 및 클라우드 환경 전반으로 횡적 이동을 시도했다. 특히 초기 침투부터 랜섬웨어 배포까지 불과 24시간이 걸리지 않은 사례도 확인됐다.
보고서에 따르면, 클라우드 침해 공격은 전년 대비 136% 증가했고, 이 중 40%는 중국 연계 공격 세력에 의해 발생했다. 특히 제네시스 판다(GENESIS PANDA), 머키 판다(MURKY PANDA)는 클라우드 설정 오류와 신뢰된 접근 권한을 악용해 탐지를 회피했다.
크라우드스트라이크 공격 대응 작전 총괄 애덤 마이어스는 “공격자는 생성형 AI를 악용해 소셜 엔지니어링 공격에 속도를 내고 있으며, 기업이 도입한 AI 시스템을 주요 표적으로 삼는다”라며, “이들은 SaaS 플랫폼, 클라우드 콘솔, 고급 권한 계정을 노리는 동일한 방식으로 AI 에이전트를 공략한다. 향후 사이버 보안의 핵심은 기업이 자사 AI를 어떻게 보호하느냐에 달렸다”라고 전했다.
dl-ciokorea@foundryco.com
