한국어 사용 해킹그룹 킴수키(Kimsuky)가 지난해부터 인공지능(AI) 도구를 악성코드 개발에 활용한 정황이 포착됐다. 최근 AI 기반 취약점 탐지와 공격 자동화를 둘러싼 논란이 커지는 가운데, 국가 배후 해킹조직의 실제 공격 도구 개발 과정에서 대규모언어모델(LLM) 활용 흔적이 확인된 셈이다.

카스퍼스키는 14일 킴수키의 최신 공격 캠페인을 분석한 보고서를 발표했다.

보고서에 따르면 킴수키는 2025년 8월 처음 확인된 러스트(Rust) 기반 백도어 ‘헬로도어(HelloDoor)’ 코드 내부에 이모지가 포함된 주석을 남겼다. 이를 두고 글로벌 보안 기업 카스퍼스키(Kaspersky)는 “LLM을 활용해 코드를 작성한 정황”이라고 분석했다.

킴수키는 이후에도 공격 도구를 고도화했다. 2025년 12월에는 페블대시(PebbleDash) 기반 백도어 ‘httpMalice’가 확인됐다. 페블대시는 공격자가 감염 PC에 원격 명령을 내리고 정보를 빼내는 데 쓰는 백도어 계열 악성코드다. httpMalice는 HTTP·HTTPS 방식으로 명령제어(C2) 서버와 통신하거나 드롭박스(Dropbox) API를 활용하는 방식으로 운영됐다.

정상 소프트웨어를 공격 채널로 악용한 점도 확인됐다. 킴수키는 개발자가 자주 쓰는 비주얼스튜디오코드(VSCode) 원격 터널링 기능과 원격 관리 도구 DW에이전트(DWAgent)를 활용해 피해 시스템에 접속했다. 정상 프로그램과 합법 인프라를 거치는 만큼 보안 솔루션이 공격 여부를 가려내기 어렵다.

우리 정부 시스템을 겨냥한 정황도 드러났다. 카스퍼스키는 애플시드(AppleSeed) 악성코드에 2022년부터 한국 정부 공인 전자인증서(GPKI)가 저장된 C:\GPKI 디렉토리 수집 기능이 포함됐다고 밝혔다. 인증서가 유출될 경우 공무원 계정 도용이나 정부 시스템 접근으로 이어질 수 있다.

피해 대상은 한국 군 관계자, 정부 공무원, 방위산업체 직원, 군 출입 언론인, 통신사 직원 등으로 파악됐다. 카스퍼스키는 페블대시 클러스터가 국내외 방산·의료·군사 분야를, 애플시드 클러스터는 정부 기관을 주로 겨냥했다고 분석했다.

이효은 카스퍼스키코리아 지사장은 “킴수키의 최신 캠페인은 단순한 악성코드 업데이트를 넘어, AI 코드 생성 도구 활용과 정상 소프트웨어 악용이라는 두 가지 축으로 공격의 정교함을 높이고 있다”며 “특히 기업 환경에서 광범위하게 사용되는 도구가 공격 채널로 전용된 만큼, 행위 기반 탐지 체계 구축과 정기적인 위협 인텔리전스 업데이트가 그 어느 때보다 중요하다”고 말했다.

정종길 기자
jk2@chosunbiz.com

• 245조 놓고 머스크·올트먼 법정 폭로전 벌어져
• 아이티센엔텍, 과천 아동 대상 AI 교육 특강
• SKT, 국방부와 손잡고 국방 AI 전환 나서
• “인사·투자 개입 금지”… KT, 사외이사 윤리강령 개정
• 한화갤러리아, 1Q 영업익 123억… 명품관 효과에 전년比 551%↑