이모지 가득한 코드, 그 뒤에 북한이 있었다
북한 해커 그룹 HexagonalRodent이 ChatGPT·Cursor 등 AI 도구로 3개월 만에 암호화폐 130억 원을 탈취했다. AI가 '평범한 해커'를 어떻게 업그레이드하는지, 그 실체를 파헤친다.
코드 곳곳에 이모지가 박혀 있었다. 💰🔑✅. PC 키보드로 코딩하는 사람이 이모지를 쓸 이유는 없다. 보안 연구원 마커스 허친스는 그 순간 직감했다. 이 코드는 사람이 짠 게 아니다.
그리고 그 코드 뒤에는 북한이 있었다.
3개월, 2,000대, 130억 원
지난 수요일, 사이버보안 기업 Expel은 북한 국가 지원 해킹 그룹의 작전을 공개했다. 이들이 붙인 이름은 HexagonalRodent. 이 그룹은 단 3개월 만에 2,000대 이상의 컴퓨터에 악성코드를 심고, 최대 1,200만 달러(약 130억 원)에 달하는 암호화폐를 탈취했다.
표적은 정밀하게 골라졌다. 소규모 암호화폐 프로젝트, NFT 제작, Web3 스타트업에서 일하는 개발자들. 이들은 대기업 직원과 달리 회사 차원의 보안 솔루션 없이 개인 장비로 작업하는 경우가 많다. 해커들은 그 틈을 파고들었다.
수법은 고전적이지만 정교했다. 가짜 테크 기업 채용 공고를 뿌리고, 지원자에게 '코딩 테스트'를 다운로드하게 한다. 그 파일 안에 자격증명 탈취 악성코드가 숨어 있었다. 피해자가 파일을 실행하는 순간, 암호화폐 지갑 키를 포함한 접속 정보가 빠져나갔다.
AI가 '그냥 해커'를 만든 방법
여기서 이 사건이 단순한 북한 해킹 뉴스와 달라지는 지점이 있다.
허친스는 악성코드 샘플을 분석하며 이상한 점을 발견했다. 코드 전체에 영어 주석이 빼곡했다. 북한 개발자가 영어로 주석을 달 이유가 없다. 그리고 이모지들. 대형 언어 모델이 코드를 생성할 때 나타나는 전형적인 패턴이었다.
해커들이 실수로 노출한 인프라에서는 더 직접적인 증거가 나왔다. ChatGPT, Cursor, Anima 등 미국 AI 기업들의 도구로 악성코드를 작성할 때 사용한 프롬프트가 그대로 유출됐다. 피싱에 쓰인 가짜 기업 웹사이트도 AI 웹디자인 도구로 만들어졌다.
"이 운영자들은 코드를 짤 능력이 없어요. 인프라를 구축할 능력도 없고요. AI가 그들이 원래라면 절대 못 했을 일을 가능하게 해주고 있는 겁니다." 허친스의 말이다. 그는 2017년 북한이 만든 워너크라이 랜섬웨어를 혼자 막아낸 것으로 유명한 연구자다.
더 주목할 점은 이 AI 생성 악성코드가 기술적으로 정교하지 않았다는 것이다. 대부분의 기업과 정부기관에서 쓰는 표준 보안 도구로 충분히 탐지 가능한 수준이었다. 그런데도 성공했다. 개인 개발자들은 그런 보안 도구를 갖추지 않은 경우가 많으니까. 허친스는 말한다. "그들은 완전히 AI가 생성한 악성코드로도 빠져나갈 수 있는 틈새를 찾아낸 겁니다."
은둔의 왕국이 AI를 쓰는 방식
HexagonalRodent는 북한 사이버 작전의 극히 일부다. 북한의 사이버 활동은 암호화폐 탈취, 랜섬웨어, 스파이활동, 그리고 IT 노동자를 위장 취업시키는 '내부자 침투'까지 광범위하다. 보안 연구자들은 이를 "국가 승인 범죄 조직"에 비유한다. 벌어들인 자금은 핵 개발과 국가 인프라에 투입된다.
이 구조에서 AI는 북한에게 특별한 의미를 갖는다. 북한은 인터넷 접근이 제한된 나라다. 뛰어난 해커를 육성하기 어렵다. 하지만 IT 인력은 상대적으로 많이 공급할 수 있다. AI는 이 간극을 메운다.
"수백 명이 국경을 넘어 IT 업무를 하러 파견되는데, 그 중 진짜 실력 있는 사람은 소수예요. 그런데 생성형 AI를 쓰면 꽤 성공적인 해킹 캠페인을 실행할 수 있게 됩니다." 허친스의 분석이다. 실제로 Expel은 HexagonalRodent 작전에 최대 31명의 개별 해커가 관여했다고 추정한다. AI가 인력을 줄인 게 아니라, 오히려 더 많은 사람이 참여할 수 있게 된 것이다.
북한은 군 정찰총국 산하에 Research Center 227이라는 조직도 만들었다. AI 기반 해킹 도구 개발에 초점을 맞춘 곳이다. 이미 OpenAI와 Anthropic 모두 자사 플랫폼에서 북한 운영자의 계정을 탐지해 차단했다고 밝혔다. Anthropic은 지난해 보고서에서 북한 IT 노동자들이 "AI 없이는 기본적인 기술 업무나 업무 소통도 수행하지 못하는 것으로 보인다"고 기록했다.
한국이 특히 주목해야 하는 이유
이 사건은 한국 보안 생태계에 직접적인 시사점을 던진다.
국내 Web3·블록체인 스타트업 생태계는 아시아에서 손꼽히는 규모다. 개인 개발자와 소규모 팀이 주도하는 NFT, 디파이 프로젝트들이 활발하다. 이번 HexagonalRodent가 정확히 노린 프로필이다. 네이버, 카카오 같은 대기업은 자체 보안 인프라가 있지만, 그 바깥의 수많은 개인 개발자와 스타트업은 그렇지 않다.
또한 한국은 북한 사이버 공격의 전통적인 1순위 표적이다. 국가정보원에 따르면 북한의 사이버 공격 역량은 매년 강화되고 있다. AI가 그 역량에 곱하기를 하고 있다면, 위협의 규모는 단순 덧셈이 아니다.
보안 전문가 마이클 바넷은 말한다. "북한은 AI를 전력 증폭기로 활용하고 있습니다. 이력서 작성, 웹사이트 구축, 취약점 탐색까지 모든 단계에서요. 그것도 빠르게, 대규모로."
본 콘텐츠는 AI가 원문 기사를 기반으로 요약 및 분석한 것입니다. 정확성을 위해 노력하지만 오류가 있을 수 있으며, 원문 확인을 권장합니다.
관련 기사
앤트로픽의 AI 사이버보안 모델 '미토스 프리뷰'를 NSA·상무부는 쓰는데, 정작 미국 사이버보안 총괄기관 CISA는 접근권이 없다. 이 아이러니가 드러내는 것은 무엇인가.
중국 정부의 지령을 받은 미국인 퇴역군인이 피겨스케이팅 챔피언 아버지를 감시했다. 초국가적 탄압이 미국 땅에서 벌어진 방식, 그리고 우리가 놓치고 있는 더 큰 그림.
트럼프 행정부와 AI 기업 앤트로픽의 갈등이 새 사이버보안 모델 클로드 미토스를 계기로 해빙 국면에 접어들었다. AI 윤리와 국가안보 사이에서 기업은 어디까지 타협할 수 있는가.
마이크로소프트와 갈등을 빚은 보안연구원이 미패치 취약점 코드를 공개하자, 해커들이 즉시 실제 공격에 활용했다. 윈도우 디펜더 3개 취약점의 파장을 분석한다.
앤트로픽의 AI 사이버보안 모델 '미토스 프리뷰'를 NSA·상무부는 쓰는데, 정작 미국 사이버보안 총괄기관 CISA는 접근권이 없다. 이 아이러니가 드러내는 것은 무엇인가.
중국 정부의 지령을 받은 미국인 퇴역군인이 피겨스케이팅 챔피언 아버지를 감시했다. 초국가적 탄압이 미국 땅에서 벌어진 방식, 그리고 우리가 놓치고 있는 더 큰 그림.
트럼프 행정부와 AI 기업 앤트로픽의 갈등이 새 사이버보안 모델 클로드 미토스를 계기로 해빙 국면에 접어들었다. AI 윤리와 국가안보 사이에서 기업은 어디까지 타협할 수 있는가.
마이크로소프트와 갈등을 빚은 보안연구원이 미패치 취약점 코드를 공개하자, 해커들이 즉시 실제 공격에 활용했다. 윈도우 디펜더 3개 취약점의 파장을 분석한다.
의견
이 기사에 대한 생각을 나눠주세요
로그인하고 의견을 남겨보세요