기술/연구

“가짜 군인이 보낸 이메일?” 챗GPT 악용한 북한의 섬뜩한 해킹 실체

댓글 0 · 저장 0 · 편집: 이도윤 기자 발행: 2025.09.15 17:38

기사 3줄 요약

1 북한 해커, 챗GPT로 국군 신분증 위조해 피싱 공격
2 북한 해킹 조직 ‘김수키’ 소행, 이메일로 악성코드 유포
3 AI를 해킹, 첩보 활동에 본격적으로 악용하는 정황 포착

북한 해킹 조직이 챗GPT 같은 인공지능(AI)을 이용해 우리 군인 신분증을 위조한 사실이 드러났습니다. 국내 보안 전문 기업 지니언스에 따르면, 이들은 AI로 만든 가짜 신분증 이미지를 이메일에 첨부해 해킹 공격을 시도했습니다. 이메일을 받은 사람이 진짜인 줄 알고 이미지를 클릭하면, 숨겨진 악성 코드가 작동해 개인 정보를 빼가는 방식입니다.

아니, 챗GPT로 신분증 위조가 가능해?

이번 공격의 배후에는 북한 정찰총국과 연계된 해킹 조직 ‘김수키(Kimsuky)’가 있는 것으로 분석됩니다. 이들은 실제 군 공식 이메일 주소처럼 보이게 조작하여 공격 대상이 의심하지 않도록 만들었습니다. 지니언스가 직접 실험해 본 결과, 챗GPT는 처음에는 신분증 위조 요청을 거부했습니다. 하지만 질문 방식을 조금씩 바꾸자 결국 가짜 이미지를 만들어냈다고 합니다. AI의 안전장치를 우회할 방법이 있다는 뜻입니다.

북한이 AI를 해킹에 쓰는 게 처음이야?

북한이 AI를 첩보 활동에 사용한 것은 이번이 처음이 아닙니다. 지난 8월, 앤트로픽의 발표에 따르면 북한 해커들은 AI를 이용해 가짜 이력서를 만들고 원격 근무자로 미국 대기업에 위장 취업까지 했습니다. 지난 2월에는 OpenAI가 직접 북한 관련 계정들이 챗GPT로 가짜 자기소개서나 소셜미디어 게시글을 작성한 정황을 포착했습니다. 발각된 계정들은 즉시 차단 조치됐습니다.

앞으로 더 위험해지는 거 아니야?

전문가들은 AI가 해킹의 모든 과정에 사용될 수 있다고 경고합니다. 공격 계획을 짜는 것부터 악성 코드를 개발하고, 사람들을 속이는 글을 쓰는 일까지 AI가 대신할 수 있기 때문입니다. 이번 공격의 주요 대상은 국내 언론인, 연구원, 북한 인권 활동가 등이었습니다. AI 기술이 발전할수록 해킹 수법도 더 교묘해질 것으로 보여, 출처가 불분명한 이메일이나 파일에 대한 각별한 주의가 필요합니다.