서론
2026년 5월 12일, 구글 위협 인텔리전스 그룹(GTIG)이 발간한 'AI 위협 추적 보고서'는 사이버 보안의 새로운 전환점을 알리고 있습니다. 중국·북한·러시아 등 국가 배후 위협 세력이 인공지능(AI)을 활용한 사이버 공격을 산업화 단계로 진입시켰으며, 제로데이 공격 자동화, 2단계 인증 우회 등 전례 없는 위협 수준을 보이고 있습니다.
구글은 AI를 활용해 대규모 제로데이 공격을 시도하던 해커들을 선제적으로 차단했다고 밝혔으며, 북한의 APT45를 비롯한 국가 연결 해킹 조직들이 AI를 공격 무기화에 적극적으로 활용하고 있다고 경고했습니다.
본론
1. AI 기반 사이버 공격의 현주소
제로데이 공격 자동화
구글 GTIG 보고서에 따르면, 해커들은 AI 모델을 활용해 개발자에게 알려지지 않은 제로데이 취약점을 탐지하고 이를 악용하는 악성 코드를 제작한 것으로 "높은 확신"을 갖고 있습니다. 구글은 해당 공격 시도를 선제적으로 차단했나, AI의 취약점 탐지 능력이 강화되면서 공격에 악용될 가능성이 현실화되었습니다.
2단계 인증(2FA) 우회
공격을 시도한 해커들은 소프트웨어 취약점을 이용해 2단계 인증을 우회하려는 시도가 확인되었습니다. 2FA는 현재 보안의 핵심 방어 기제로 여겨지나, AI 기반 공격은 이를 우회하는 방법을 자동으로 탐색할 수 있어 기존 보안 체계의 근본적 재검토가 필요합니다.
악성코드 자율 운영
안드로이드 백도어 악성코드 '프롬프트스파이(PROMPTSPY)'는 제미나이 API를 활용해 사람의 개입 없이 감정 기기를 자동 조작하는 것으로 확인되었습니다. 화면을 분석해 클릭·스와이프 등 물리적 동작까지 실행하며, 감정 확정 과정에서 인적 개입을 최소화합니다.
2. 중국·북한·러시아의 AI 활용 실상
북한: APT45의 자동화 연구
북한 해킹그룹 APT45는 프롬프트를 수천 건 반복 전송해 다양한 취약점을 분석하고 공격 코드를 검증하는 자동화 연구를 진행하고 있습니다. 구글은 이들이 AI를 활용한 취약점 발견과 악용 위해 정교한 접근 방식을 취하며, 고품질 특화 보안 데이터셋을 통합 작업을 하고 있다고 분석했습니다.
중국: 방산업체 공격 고도화
중국 연결 위협 행위자들은 AI를 활용해 방산업체를 포함한 핵심 인프라에 대한 공격을 고도화하고 있습니다. APT27, UNC5673 등 중국 정부 연결 조직들이 AI 모델을 취약점 분석과 악성코드 개발에 활용하는 정황이 계속 확인되고 있습니다.
러시아: 다형성 악성코드와 정보 작전
러시아 연결 조직들은 AI를 활용해 형태를 계속 바꾸는 다형성(polymorphic) 악성코드를 개발하고 있습니다. 또한 우크라이나 공격용 멀웨어 고도화, 미국·우크라이나·프랑스를 겨냥한 정보 작전에서 실제 뉴스 영상에 조작된 오디오와 딥페이크를 활용하는 등 AI를 정보전에도 적극적으로 사용합니다.
3. 공급망과 인프라 위협
LLM 불법 접근 생태계
해커들은 미들웨어·프록시·자동 계정 생성 도구를 조합해 AI 모델 접근 제한을 우회하는 생태계를 구축했습니다. 체험판 악용과 계정 자동 갱신으로 운영 비용까지 충당하며, AI 모델의 사용 제한을 기술적으로 우회하는 방법을 정교화하고 있습니다.
AI 공급망 공격
위협 행위자 TeamPCP(UNC6780)는 AI 관련 오픈소스 패키지인 라이트엘렘(LiteLLM) 등을 침해해 클라우드 자격증명을 탈취했습니다. 탈취한 자격증명은 랜섬웨어 배포와 금전 갈취에 활용되었으며, AI 개발 생태계 자체가 공격 대상이 되고 있습니다.
4. 기업 보안 담당자의 관점
전통적 보안 체계의 한계
기존의 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS)은 패턴 기반 탐지에 의존합니다. 그러나 AI 기반 공격은 공격 패턴을 실시간으로 변형하며 탐지를 회피하기 때문에, 전통적인 방어 기제의 효율성이 급격히 떨어집니다.
인적 자원의 역할 변화
과거 보안 엔지니어는 공격 탐지와 대응에 직접 참여했습니다. 이제는 AI 기반 자동화 공격에 대응하기 위해, AI를 활용한 자동 방어 시스템의 운영과 AI 기반 공격 탐지 시스템의 관리 능력이 필수적입니다.
시나리오: AI 기반 공격의 대응
1. 탐지 단계: AI 기반 이상 행위 탐지 시스템이 제로데이 공격 시도 감지
2. 분석 단계: 보안 분석가는 AI가 제공한 공격 패턴 분석을 바탕으로 즉시 대응 결정
3. 차단 단계: AI 기반 자동 차단 규칙 배포 및 감지 시스템 격리
4. 사후 대응: AI 분석 결과를 바탕으로 패치 우선순위 결정 및 취약점 대응
5. 실용적 대응 방안
즉시 대응 (24시간 이내)
- AI 모델 접근 로그 및 사용 패턴 모니터링 도구 배포
- 2FA 우회 시도 탐지를 위한 이상 행위 분석 시스템 점검
- LLM 서비스 사용 내역 감사 및 승인된 계정 외 접근 차단
단기 대응 (72시간 이내)
- AI 기반 이상 행위 탐지 시스템(SIEM 통합) 구축
- 제로데이 취약점 대응 체크리스트 개발 및 보안 팀 교육
- 클라우드 자격증명 탈취 방지를 위한 MFA 강화 및 접근 제어 정책 재검토
장기 대응 (1주 이내)
- AI 기반 보안 투자 예산 확보 및 전략 수립
- AI 보안 전문가 채용 및 내부 역량 강화 교육
- 협업 파트너 공급망 보안 기준(MSA) 강화 및 정기 감사
- 딥페이크 탐지 기술 도입 및 정보 작전 대응 프로토콜 수립
결론
구글 GTIG 보고서는 AI 기반 사이버 공격이 실험 단계를 넘어 실전 운영 단계로 접어들었음을 명확히 보여줍니다. 중국·북한·러시아를 비롯한 국가 배후 위협 세력은 AI를 공격의 효율성과 규모를 증폭하는 증폭기로 활용하고 있습니다.
기업 보안 담당자는 이제 AI가 공격자의 무기가 되는 새로운 현실을 직시해야 합니다. AI 기반 공격에 대응하기 위해서는 AI 기반 방어 체계 구축이 선택이 아닌 필수입니다. 즉시 AI 접근 제한, 이상 행위 탐지, 2FA 보강 등의 조치를 취하고, 장기적으로는 AI 보안 전문가 양성과 딥페이크 탐지 등 선진 기술 도입에 투자해야 합니다.
AI는 공격자의 무기이자, 방어자의 방패가 될 수 있습니다. 이 싸움에서 승리하는 것은 AI를 먼저 안전하게 활용하는 방어자의 몫입니다.
대응 방안 체크리스트
| 위협 레벨 | 즉시 대응 (24시간) | 단기 대응 (72시간) | 장기 대응 (1주 이내) |
|---|---|---|---|
| Critical | AI 접근 로그 모니터링, 2FA 우회 탐지 | 제로데이 대응 체크리스트 개발 | AI 보안 전략 수립, 예산 확보 |
| High | LLM 사용 내역 감사, 비승인 계정 차단 | AI 기반 이상 행위 탐지 시스템 구축 | AI 보안 전문가 채용, 역량 강화 |
| Medium | 클라우드 자격증명 탈취 방지 점검 | MFA 강화, 접근 제어 정책 재검토 | 공급망 보안 기준 강화, 정기 감사 |
| Low | 보안 팀 교육 자료 배포 | 보안 팀 교육 실시 | 딥페이크 탐지 기술 도입 검토 |
참고자료
- 구글 위협 인텔리전스 그룹(GTIG) 보고서 (2026년 5월 12일)
- "중국·북한·러시아, AI 활용 사이버 공격 고도화…구글 보고서 경고", 디지털데일리, 2026년 5월 12일
- "구글 'AI활용 제로데이 공격 저지'…북한해킹조직 AI무기화도 포착", 연합뉴스, 2026년 5월 12일
- "北·中 해커, AI로 공격자산 '기계적' 대량생산…구글 '사이버전 산업화 단계'", 이데일리, 2026년 5월 12일
- APT27, APT45, UNC2814, UNC5673, UNC6201 등 중국·북한 정부 연결 조직 활동 관련 보고서
본 콘텐츠는 AI 기술로 작성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하시셨다면 댓글을 통해 의견을 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.
댓글 (0)
댓글을 작성하려면 로그인이 필요합니다.
로그인아직 댓글이 없습니다.
첫 번째 댓글을 작성해보세요!