인간 해커가 밤새 뒤지던 보안 허점을 이제는 기계가 스스로 찾아낸다. 구글 위협정보그룹(TAG)을 비롯한 주요 보안 업체들이 확인한 현실이다.
국가 연계 해킹 조직들이 대형언어모델(LLM)을 공격 자동화에 적극 투입하면서, 사이버 전장은 인간 대 인간의 싸움에서 기계 대 기계의 영역으로 빠르게 넘어가고 있다.
특히 위험한 것은 AI가 단순한 실험 도구가 아니라, 이미 실전 공격 사이클에 편입됐다는 점이다. 구글 TAG 보고서에 따르면 북한·중국·러시아·이란 등 국가 연계 해킹 조직들이 LLM을 활용해 피싱 문안 작성, 악성코드 수정·보조, 취약점 자료 수집 등을 수행하는 정황이 다수 포착됐다.
보안 전문가들의 공통된 평가는 ‘AI는 아직 완전 자율형 해킹 엔진은 아니지만, 숙련된 공격자의 속도와 규모를 폭발적으로 키우는 증폭기’라는 것이다. 그 증폭기를 가장 집요하게 쥐고 있는 것이 바로 북한이다.
북한 연계 해킹 조직이 2016년 이후 전 세계에서 탈취한 가상자산 규모는 유엔 안보리 대북제재위원회 전문가패널 기준 최소 30억~40억 달러(약 4~5조 원)에 달한다.
민간 블록체인 분석업체 체인애널리시스 등의 상단 추정치까지 포함하면 50억~70억 달러(약 6.5~9조 원대)에 이른다는 수치도 제시된다.
개별 사건만 봐도 그 규모는 압도적이다. 2022년 액시인피니티 론인 브리지 해킹에서만 약 6억 2,000만 달러(당시 약 7,000억~8,000억 원)가 증발했고, 미국 재무부는 이를 라자루스 그룹 소행으로 공식 지정했다.
국내에서는 2019년 업비트 해킹으로 이더리움 34만 2,000여 개가 탈취됐는데, 현재 시세로 환산하면 1조 원을 훌쩍 넘는다.
유엔 전문가패널은 북한의 사이버 탈취 수익이 핵·미사일 개발과 정찰위성 프로그램에 직접 투입된다고 반복적으로 명시하고 있다.
가상자산의 탈중앙화·익명성은 대북 제재를 우회하기에 최적의 조건이며, 북한은 믹서 서비스와 체인 분할(chain hopping), 제3국 장외 환전상 등을 동원해 현금화 루트를 고도화하고 있다.
중국은 인프라, 러시아는 심리전…AI 해킹의 3대 축
북한만의 문제가 아니다. 중국 연계 APT 조직(APT41, Volt Typhoon 등)은 LLM을 산업제어시스템(ICS)·에너지·통신망 취약점 리서치에 연동하는 정황이 미국 CISA 등 서방 정보당국의 경고로 이어지고 있다.
이들의 최종 목표는 단기 금전 탈취가 아닌, 분쟁 시 핵심 인프라를 순식간에 마비시킬 수 있는 ‘거점 확보’다.
러시아는 APT28(팬시베어), 샌드웜 등을 앞세워 딥페이크·AI 번역·자동 문안 생성을 정보전·심리전에 적극 활용 중이다. 악성코드 측면에서도 끊임없이 형태를 바꾸는 폴리모픽 악성코드 변종 생산에 LLM을 결합해 탐지 우회 속도를 높이고 있다는 평가가 나온다.
구글, 마이크로소프트, 맨디언트 등 글로벌 보안 업체들은 공통적으로 “AI가 결정적 해킹 엔진이라기보다 공격자의 작업을 가속·자동화하는 보조 도구”라고 평가하면서도, “연산과 데이터가 쌓이면 5~10년 내 준-자율형 공격 시스템 등장 가능성을 배제할 수 없다”고 경고한다.
순환 보직 0.7명…한국 방어선은 버틸 수 있나
이 위협 앞에 선 한국의 현실은 냉혹하다. 각 부처 개인정보 보호 전담 인력은 기관당 평균 0.7명 수준이며, 담당자의 56% 이상이 근무 경력 2년 미만인 것으로 파악된다.
잠깐 업무를 파악하다 이동하는 단기 순환 보직 구조로는 AI 시대의 고도화된 사이버 공격에 실질적으로 대응하기 어렵다는 지적이 나오는 이유다.
전문가들은 사이버 보안이 단순한 IT 행정이 아니라 축적된 노하우와 인적 네트워크가 핵심인 분야라며, 3~5년 이상 장기 근무와 명확한 승진·보상 경로가 함께 마련돼야 한다고 강조한다.
국내 주요 가상자산 거래소들이 콜드월렛 비중 상향과 멀티시그 도입 등 기술적 보강에 나서고 있지만, 중소형 거래소와 디파이 프로젝트 등 규제 사각지대는 여전히 넓다.
AI를 장착한 국가 해킹 조직의 공세가 현실이 된 지금, 가상자산 탈취는 단순한 금융 범죄가 아니라 북한의 핵·미사일 프로그램으로 직결되는 안보 문제다. 기존의 수동 방어 체계로는 버티기 어려운 새로운 전장이 이미 열렸다.
