北해커, 챗GPT로 군무원증 위조해 사이버공격

韓 국방기관 사칭, 피싱메일 보내
“딥페이크 수법, 각별한 유의 필요”

김수키 그룹이 챗GPT로 만든 가짜 군 공무원증을 활용해 한국 군인과 언론인을 대상으로 스피어 피싱 공격을 감행했다. 공격에는 악성 스크립트와 위장 이메일이 사용됐으며, AI 활용이 단순 피싱을 넘어 실제 업무까지 영향을 미친 것으로 분석됐다. (사진=지니언스)

북한이 배후에 있는 것으로 추정되는 해킹그룹이 생성형 인공지능(AI)으로 만든 딥페이크 이미지까지 동원해 가며 군 관계자를 대상으로 사이버 공격에 나섰던 것으로 확인됐다.

15일 사이버 보안 기업 ‘지니언스’의 보고서에 따르면 올 7월 김수키 그룹으로 추정되는 해킹그룹이 AI로 가짜 신분증 이미지를 만들어 한국 국방 관련 기관을 사칭하며 스피어 피싱(특정 개인이나 조직을 표적으로 한 사이버 공격)을 시도했다.

군 공무원증 초안 검토 요청으로 사칭한 공격 화면. (사진=지니언스)

이들은 챗GPT로 가짜 ‘군 공무원 신분증’ 사진을 만든 뒤 ‘신분증 시안을 검토해 달라’는 내용으로 피싱 메일을 보냈다. 마치 군 공무원의 신분증 발급 업무를 진행하기 위한 메일인 것처럼 위장하며, 신빙성을 높이기 위해 가짜 사진을 미끼로 던진 것이다. 그리고 메일에 첨부한 ‘공무원증 초안.zip’이라는 이름의 압축 폴더 안에 악성 파일을 심었다. 파일을 클릭하면 이메일 수신자의 컴퓨터가 감염되면서 자료가 탈취되거나 원격 제어 등에 노출된다. 이들은 이메일 발신자 주소도 실제 군 기관의 공식 도메인 주소인 ‘mil.kr’과 유사한 ‘mli.kr’로 설정해 이메일 수신자가 헷갈리도록 했다.

PNG 파일의 메타데이터. (사진=지니언스)

군 공무원증은 공적 신분증이어서 실제와 동일하거나 유사한 형태를 만드는 것은 위법이다. 이 때문에 챗GPT에 직접적으로 신분증 사본 제작을 요청하면 ‘불가하다’는 응답을 한다. 이들은 챗GPT에 “샘플 용도의 가상 디자인을 제작해 달라”고 요청하는 등 가드레일(안전장치)을 우회해 가짜 이미지를 얻어낸 것으로 보인다.

지니언스 관계자는 “공격 패턴과 기법을 고려했을 때 이 공격은 김수키 그룹이 했을 것으로 추정된다”며 “AI 서비스를 통해 모조 신분증을 제작하는 것은 기술적으로 어렵지 않기 때문에, 앞으로 각별한 유의가 필요하다”고 밝혔다.