[2026-05-15] 북한 해킹조직 ‘김수키’, AI 악성코드로 정부 시스템 노린다

 

 

 

오늘의 뉴스클리핑의 이슈는 바로 북한 해킹조직 ‘김수키’, AI 악성코드로 정부 시스템 노린다 입니다 - !

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

북한 해킹조직 ‘김수키’, AI 악성코드로 정부 시스템 노린다

 

카스퍼스키는 북한 해킹 조직 김수키의 최신 공격 기법을 분석한 보고서를 발표했다. 보고서에 따르면 김수키는 AI 기술을 악성코드 제작 과정에 활용하고 있으며, VSCode 원격 터널링 기능과 원격 관리 도구를 이용해 보안 탐지를 우회하는 새로운 공격 방식을 사용하고 있는 것으로 나타났다. 또한 정부 공무원이 사용하는 전자인증서(GPKI)를 탈취하려는 기능까지 확인되면서 정부 시스템 침투 가능성에 대한 우려가 커지고 있다. 공격 대상은 정부 공무원, 군 관계자, 방산업체 직원뿐 아니라 해외 인사들까지 확대되고 있으며, 스피어 피싱 이메일과 메신저 등을 이용해 초기 침투를 시도하는 것으로 분석됐다.

 

 

 

 

 

 

 

핵심내용

이번 보고서에서 가장 주목되는 부분은 북한 해킹 조직이 AI를 실제 공격 도구 제작에 활용하기 시작했다는 점이다. 카스퍼스키 연구진은 러스트(Rust) 기반 백도어 악성코드인 HelloDoor를 분석하는 과정에서 이모티콘이 포함된 주석과 문법적 오류 등을 발견했으며, 이를 통해 대형언어모델(LLM)이 코드 생성 과정에 관여했을 가능성을 제기했다. 또한 공격자들은 VSCode의 원격 터널링 기능을 악용해 마치 정상적인 마이크로소프트 서버 통신처럼 위장하며 탐지를 우회하고 있었다. 특히 AppleSeed 악성코드에는 정부 공무원이 사용하는 GPKI 인증서 저장 경로를 수집하는 기능이 포함되어 있었으며, 인증서가 탈취될 경우 정부 내부 시스템에 무단 접근할 위험성이 큰 것으로 분석됐다. 공격 방식 역시 이메일뿐 아니라 메신저, 정상 웹사이트 해킹 등으로 다양화되고 있었다.

HelloDoor
기사에서 언급된 러스트(Rust) 기반 백도어 악성코드로, 원격 제어 및 정보 탈취 기능을 수행

Rust(러스트)
-메모리 안정성과 속도를 강조한 프로그래밍 언어
-최근 악성코드 제작에도 자주 사용

 

 

 

 

 

 

공격과정

공격자는 먼저 채용 공고나 제품 견적서처럼 보이는 스피어 피싱 이메일 또는 메신저 메시지를 이용해 피해자에게 접근한다. 사용자가 첨부파일이나 링크를 실행하면 AppleSeed나 HelloDoor와 같은 악성코드가 시스템에 설치된다. 이후 공격자는 VSCode 원격 터널링 기능과 원격 관리 도구를 활용해 피해 시스템과 연결하며, 이 과정에서 마이크로소프트 서버와 통신하는 것처럼 위장해 보안 솔루션의 탐지를 우회한다. 악성코드는 감염된 시스템 내부에서 정부 공인 전자인증서(GPKI) 저장 디렉터리를 탐색하고 인증서를 탈취하려 시도한다. 공격자는 탈취한 인증서를 활용해 정부 내부 시스템에 접근하거나 추가 악성코드를 설치하며 내부망으로 공격 범위를 확대할 가능성이 있다. 또한 정상 웹사이트를 해킹해 C2(Command & Control) 서버로 사용하는 등 공격 인프라를 숨기는 방식도 함께 사용하고 있었다.

AppleSeed
김수키 조직이 사용하는 악성코드 중 하나로, 시스템 정보와 인증서 등을 수집하는 기능

 

 

 

 

 

 

시사점

이번 사례는 AI 기술이 실제 사이버 공격에 활용되면서 공격의 자동화와 고도화가 빠르게 진행되고 있음을 보여준다. 특히 정상 프로그램인 VSCode를 공격 도구로 활용하는 방식은 기존 보안 시스템이 악성 프로그램만 탐지하도록 설계되어 있을 경우 쉽게 우회될 수 있다는 문제를 드러냈다. 또한 정부 공무원의 인증서를 노린 공격은 단순한 개인정보 유출 수준을 넘어 국가 기반시설과 행정 시스템 전체의 보안 위협으로 이어질 가능성이 있다는 점에서 매우 심각하다. 따라서 앞으로는 단순 파일 탐지 방식만으로는 대응이 어려우며, 사용자의 이상 행위를 분석하는 행위 기반 탐지 체계와 최신 위협 인텔리전스 공유 체계를 강화할 필요가 있다. 동시에 공공기관과 기업의 보안 교육 강화도 중요해지고 있다.

 

 

 

 

 

 

 

개인의견

이번 기사를 보며 가장 위험하다고 느낀 부분은 AI가 실제 해킹 도구 제작에 활용되고 있다는 점이었다. 과거에는 공격자가 직접 악성코드를 제작해야 했다면, 이제는 AI를 이용해 더 빠르고 다양한 형태의 악성코드를 만들 수 있게 되면서 보안 대응 속도가 공격 속도를 따라가기 어려워질 수 있다고 생각한다. 또한 VSCode처럼 개발자와 일반 사용자들이 많이 사용하는 정상 프로그램을 악용한다는 점에서 앞으로의 사이버 공격은 더욱 탐지하기 어려워질 것으로 보인다. 특히 정부 인증서를 탈취해 내부 시스템 접근을 시도했다는 부분은 단순 정보 유출을 넘어 국가 보안과 직접 연결될 수 있는 문제라고 느껴졌다. 앞으로는 백신 프로그램 설치만으로 안심할 수 없으며, 사용자 스스로 의심스러운 이메일과 파일을 주의하고 보안 의식을 높이는 것이 매우 중요하다고 생각한다.

 

 

 

 

 

 

 

기사출처 : https://n.news.naver.com/mnews/article/001/0016076046