북한 해킹 그룹 Kimsuky, ChatGPT로 가짜 군인 신분증까지 만든다 😨

최근 사이버 보안 업계에서 가장 뜨거운 이슈 중 하나는 바로 북한 연계 해킹 그룹 Kimsuky가
생성형 AI를 활용해 공격 수법을 고도화하고 있다는 점이에요.
단순히 이메일 피싱 수준이 아니라, 이제는 ChatGPT 같은 AI 서비스로 가짜 신분증 이미지까지 만들어내는 시대가 된 거죠.

이번 공격에서는 대한민국 군인 신분증을 딥페이크로 합성해,
실제와 거의 구분이 안 될 정도의 문서를 피해자들에게 보냈다고 합니다.
그 대상은 주로 언론인, 연구자, 인권 활동가 등 북한 관련 민감한 주제를 다루는 사람들이었고,
심지어 방산 관련 기관도 포함되어 있었어요.

---

🎭 단순한 속임수가 아닌 '맥락 공격'

많은 분들이 “가짜 사진이 뭐 그렇게 무섭냐?”라고 생각할 수 있어요
그런데 여기서 중요한 건 단순한 ‘시각적 속임수’가 아니라는 점이에요.

예를 들어, 군 관련 연구자가 “군인 신분증 검토 요청” 메일을 받는다면,
그건 그냥 스팸 메일이 아니라 업무와 직접적으로 연관된 요청처럼 보이겠죠.
이런 맥락 때문에 클릭 가능성이 훨씬 높아지는 겁니다.

즉, Kimsuky는 이번에 AI를 이용해서 단순히 그럴싸한 이미지를 만든 게 아니라, 사회공학적 설득력을 극대화한 거예요.

---

🤖 북한 해킹 그룹과 AI의 위험한 만남

Kimsuky뿐만 아니라 북한 해킹 그룹 PurpleDelta와 PurpleBravo도 AI를 다양하게 쓰고 있다는 게 보안 업계 분석이에요.

이들이 활용하는 방식은 다음과 같아요:

• 코드 생성 및 악성코드 수정 ✍️
• 문서 위·변조 및 자동 번역 🌐
• 영어 문장 교정(더 자연스러운 문장으로 보이게) 📝
• 구인 사이트에 쓸 가짜 리크루터 프로필 생성 👔

실제로 AI는 이들에게 “일 잘하는 파트너” 같은 역할을 하고 있어요.
예를 들어, PurpleBravo는 가상화폐 업계 개발자들에게 허위 구인 공고를 뿌릴 때, AI가 만든 가짜 리크루터 이미지를 사용했죠.

그리고 최근에는 Claude 같은 AI 모델을 이용해, 결제 카드 검증 시스템을 자동으로 돌려가며 탐지 회피하는 기능까지 구현했다는 보고도 나왔습니다. 이쯤 되면 AI가 단순한 ‘보조 도구’가 아니라, 공격 체계의 핵심이라고 봐도 과언이 아니에요.

---

🪪 왜 하필 ‘군인 신분증’일까?

그렇다면 왜 Kimsuky는 군인 신분증을 골랐을까요?

1. 권위와 신뢰성 – 군인 신분증은 보는 순간 “공식적이고 권위 있는 문서”라는 느낌을 줍니다.
2. 타깃 맞춤형 공격 – 국방 연구자, 기자 등 특정 타깃에게는 매우 자연스러운 문서 유형이에요.
3. 속도와 현실감 – AI 덕분에 이런 가짜 신분증은 한 시간 이내에 제작 가능하고, 품질도 점점 실제와 흡사해지고 있어요.

보안 전문가들은 “이런 위조 신분증은 단순한 미끼가 아니라, 첨부 파일을 열도록 설득하는 강력한 장치”라고 지적합니다.
즉, “이건 공식 문서니까 열어봐도 된다”라는 생각을 유도하는 거죠.

---

💻 공격 시나리오 뜯어보기

이번 공격은 단순히 이미지 전송에서 끝나지 않았습니다.
실제 흐름은 이렇게 전개돼요:

1. 피해자에게 군 신분증 검토 요청 메일 전송
2. 메일에 첨부된 ZIP 파일 다운로드
3. ZIP 안에 있던 LNK 파일 실행 → PC 감염
4. 동시에 포함된 북한 경제 보고서, 계엄령 관련 정부 조사 보고서 같은 문서로 관심 유도

즉, 신분증 이미지가 1차 미끼, 보고서 문서가 2차 위장, 그 사이에 숨어 있는 악성 로더가 실제 공격인 구조예요.

---

⚠️ 왜 심각한 위협일까?

• AI로 제작 시간 단축 → 위조 신분증을 몇 시간도 안 걸려 뚝딱
• 사회공학적 설득력 강화 → “내 업무와 관련 있다”는 착각을 불러일으킴
• 민감 분야 집중 공격 → 북한 연구, 국방, 정치 등 국가 안보에 직접적인 위협

즉, 예전에는 ‘영어 어색한 스팸 메일’ 정도로 걸러낼 수 있었지만,
이제는 언어, 이미지, 맥락까지 완벽하게 맞춘 공격이 가능한 거예요.

---

🛡️ 우리가 기억해야 할 점

1. AI가 공격자 손에 들어가면 위협이 배가된다 – 생성형 AI는 단순 편의 기능이 아니라, 공격 수법을 혁신적으로 바꾸고 있어요.
2. 사회공학 공격은 맥락에 속는다 – 아무리 그럴듯한 문서라도, “정말 내가 확인해야 할 내용인가?”라는 기본 의심이 필요합니다.
3. 첨부 파일 = 잠재적 위험 – ZIP, LNK, PDF, DOCX 등 확장자 불문하고, 출처가 애매하면 열지 않는 게 최선이에요.

---

📌 결론

북한 Kimsuky 그룹의 이번 공격은 “AI + 딥페이크 신분증 + 사회공학”이라는 3단 콤보 전략입니다.
단순 피싱을 넘어, 정교하게 맞춤형으로 설계된 위협이라는 점에서 심각성이 커요.

앞으로 사이버 위협은 점점 더 현실과 구분이 힘든 수준으로 발전할 겁니다.
따라서 우리는 단순한 기술적 보안뿐만 아니라, 사회공학적 기만에 대한 경계심을 높여야 합니다.