국가 지원 스파이 활동이 AI 시대에 진입하다: 구글, 제미나이(Gemini)의 광범위한 남용 사례 공개
인공지능의 양면성을 강조하는 획기적인 공개 사례에서, 구글 위협 인텔리전스 그룹(Google’s Threat Intelligence Group, GTIG)은 중국, 이란, 북한, 러시아의 국가 지원 행위자들이 어떻게 제미나이(Gemini) AI를 체계적으로 악용하고 있는지 상세히 설명하는 종합 보고서를 발표했습니다. 이번 주에 발표된 이 보고서는 생성형 AI(Generative AI)가 더 이상 사이버 보안에서 이론적인 위험이 아니라 공격 수명 주기의 모든 단계에서 활발하게 사용되는 운영 도구라는 가장 정밀한 증거를 제공합니다.
피싱 유인책을 정교화하는 것부터 다형성 악성코드 코드를 생성하는 것까지, 공격자들은 캠페인을 가속화하기 위해 대규모 언어 모델(Large Language Models, LLMs)의 기능을 활용하고 있습니다. 아마도 가장 우려스러운 점은 구글이 새로운 정교한 위협 분류인 "증류 공격(distillation attacks)"을 강조했다는 점입니다. 이 공격에서 사이버 범죄자들은 검열되지 않은 개인용 버전의 기술을 구축하기 위해 AI 모델 자체의 지적 재산을 훔치려고 시도합니다.
AI 환경이 개방형 혁신과 보안 통제 사이에서 갈라지는 가운데, 이러한 폭로는 중대한 시점에 나왔습니다. 구글이 불량 국가들의 무단 사용과 싸우는 동안, 미국 국방부는 안전 제약 조건을 두고 AI 리더인 앤스로픽(Anthropic)과 공개적인 대치 상황에 처해 있으며, 이는 무기화된 AI의 미래에 대한 복잡한 그림을 보여줍니다.
"증류" 공격의 부상: AI의 두뇌를 훔치다
구글 보고서에서 기술적으로 가장 중요한 발견 중 하나는 모델 추출 또는 "증류(distillation)" 공격의 확산입니다. 사용자 정보나 자격 증명을 대상으로 하는 전통적인 데이터 절도와 달리, 증류 공격은 AI 모델의 인지 구조를 대상으로 합니다.
구글은 제미나이의 논리, 추론 및 언어 능력을 조사하기 위해 설계된 100,000개 이상의 생성된 프롬프트와 관련된 대규모 캠페인을 차단했다고 보고했습니다. 공격자의 목표는 서비스를 중단시키는 것이 아니라 복제하는 것이었습니다. 모델에 체계적으로 쿼리를 보내고 그 출력을 기록함으로써, 위협 행위자들은 제미나이의 성능을 모방하는 더 작은 "학생(student)" 모델을 훈련하기 위한 데이터셋을 생성할 수 있습니다.
증류 공격이 중요한 이유:
- 지적 재산권 침해: 경쟁자나 악의적인 행위자가 프런티어 모델의 막대한 훈련 비용을 들이지 않고도 독점 기술을 복제할 수 있게 합니다.
- 안전 필터 우회: 공격자가 모델의 기능을 자신들의 개인 시스템으로 "증류"하면, 구글이나 OpenAI와 같은 회사들이 공들여 구현한 안전 가드레일(RLHF)을 제거할 수 있습니다. 그 결과 제한 없이 악성코드를 작성하거나 혐오 표현을 생성할 수 있는 검열되지 않은 모델이 탄생합니다.
- 확장성: 구글은 이러한 공격이 고도로 확장 가능하며 종종 자동화되어, 합법적인 API 액세스를 고가치 인텔리전스를 빨아들이는 통로로 만든다고 언급했습니다.
글로벌 위협 행위자들과 그들의 전술
보고서는 잘 알려진 지능형 지속 위협(Advanced Persistent Threat, APT) 그룹에 기인한 "끊임없는 공세"를 상세히 설명하며, 특정 AI 강화 전술을 나열합니다. 이러한 공격의 다양성은 AI가 엘리트 해킹 부대뿐만 아니라 사이버 스파이 활동의 전 범위에서 채택되고 있음을 보여줍니다.
다음 표는 구글이 식별한 주요 행위자들과 그들의 구체적인 제미나이 남용 사례를 요약한 것입니다:
| 그룹명 | 기원/국가 | 주요 목표 | 사용된 AI 전술 |
|---|---|---|---|
| UNC2970 | 북한 | 국방 부문 스파이 활동 | OSINT 합성, "Operation Dream Job"을 위한 타겟 프로파일링 |
| APT42 | 이란 | 피싱 및 자격 증명 절도 | 번역, 페르소나 개발, 설득력 있는 이메일 초안 작성 |
| UNC4841/UNC3886 | 중국 | 기술적 착취 | 취약점 연구, 코드 생성, 스크립트 최적화 |
| APT44 (Sandworm) | 러시아 | 주요 인프라 사보타주 | 전시 작전 중 기술적 한계 극복 |
| 금전적 동기 그룹 | 글로벌 | 수익/랜섬웨어 | "어니스트큐(Honestcue)" 악성코드, AI 기반 피싱 키트 개발 |
북한: 채용을 가장한 위장술
악명 높은 라자루스 그룹(Lazarus Group)과 연결된 북한 그룹 UNC2970은 오랫동안 진행해 온 "Operation Dream Job"에 제미나이를 통합했습니다. 이 캠페인은 보안 네트워크에 침투하기 위해 가짜 채용 제안으로 국방 및 항공 우주 부문의 직원을 타겟으로 합니다. 구글의 분석에 따르면 UNC2970은 링크드인(LinkedIn) 및 기타 플랫폼에서 오픈 소스 인텔리전스(OSINT)를 수집하고 합성하는 데 제미나이를 사용합니다. 프로필을 AI에 입력함으로써 이 그룹은 보안 의식이 높은 타겟의 의심을 피할 수 있는 고도로 개인화되고 신뢰할 수 있는 채용 자료를 생성합니다. AI를 통해 그들은 전례 없는 속도로 기술적 역할과 급여 구조를 파악할 수 있습니다.
이란: 사회 공학 엔진
APT42와 같은 이란 행위자들에게 효과적인 사회 공학을 위한 진입 장벽은 역사적으로 언어와 문화적 뉘앙스였습니다. 제미나이는 이러한 장벽을 효과적으로 낮추었습니다. 이 그룹은 문법적으로 완벽하고 이스라엘과 미국의 타겟들에게 문화적으로 부합하는 피싱 이메일을 작성하는 데 모델을 활용합니다. 또한 APT42는 침투 후 활동에도 AI를 사용하여 훔친 데이터를 파싱함으로써 고가치의 이메일 주소와 자격 증명을 빠르게 식별하고, 초기 침입 후 "탈출" 시간을 단축합니다.
중국: 킬 체인(Kill Chain)의 자동화
중국 국가 지원 그룹들은 기술적 통합을 선호하는 경향을 보였습니다. 단순히 텍스트를 위해 AI를 사용하는 대신, 그들은 코드 분석을 위해 제미나이를 고용하고 있습니다. 보고서는 UNC4841과 같은 그룹이 스크립트 최적화를 제안하거나 잠재적 익스플로잇의 버그를 식별하는 데 모델을 어떻게 사용하는지 강조합니다. 이는 인간 운영자가 LLM을 지렛대 삼아 제로데이(zero-day) 취약점을 식별하거나 안티바이러스 시그니처를 회피하는 다형성 코드를 작성하는 "AI 보조 해킹"으로의 전환을 시사합니다.
자동화된 악성코드와 "어니스트큐(Honestcue)"의 위협
국가 스파이 활동을 넘어, 보고서는 상업적 사이버 범죄 부문의 AI 채택에 대해서도 조명합니다. 눈에 띄는 발견은 제미나이 API를 활용하도록 명시적으로 설계된 악성코드 프레임워크인 "어니스트큐(Honestcue)"입니다.
어니스트큐는 제미나이 API에 자연어 프롬프트를 보내고 그에 대한 응답으로 악성 C# 소스 코드를 받는 다운로더 및 런처로 작동합니다. 코드가 동적으로 생성되고 메모리에서 실행되기 때문에, 전통적인 엔드포인트 탐지 시스템이 플래그를 지정하기 매우 어려운 "파일리스(fileless)" 공격 발자국을 생성합니다. 이는 중요한 진화를 나타냅니다. 악성코드는 더 이상 정적인 파일이 아니라 클라우드 기반 AI에 의해 즉석에서 생성되는 동적인 명령 세트입니다.
마찬가지로 구글은 설득력 있는 기술 지원 지침을 생성하기 위해 AI를 사용하는 사회 공학 공격인 "클릭픽스(ClickFix)" 캠페인을 식별했습니다. 이러한 지침은 사용자가 악성 스크립트를 자신의 터미널에 복사하여 붙여넣도록 유도하며, "수리 가이드"에 대한 피해자의 신뢰를 악용합니다.
방어의 딜레마: 앤스로픽(Anthropic) 대 펜타곤
구글이 범죄자들을 AI 생태계에 들어오지 못하게 싸우는 동안, 워싱턴에서는 누가 들어올 수 있는지에 대해 다른 전투가 벌어지고 있습니다. 이번 주 Axios와 The Wall Street Journal의 보고서에서 확인된 바와 같이, 미국 국방부(DoD)는 앤스로픽의 엄격한 사용 정책을 두고 해당 업체와 충돌하고 있습니다.
피트 헤그세스(Pete Hegseth) 국방장관은 앤스로픽을 "공급망 위험"으로 규정하고 회사와의 관계를 끊겠다고 위협했습니다. 분쟁의 핵심은 무기 개발이나 살상 작전 지원을 거부하는 내용이 포함된 앤스로픽의 "헌법적 AI(Constitutional AI)" 접근 방식에 있습니다. 이러한 보호 장치는 구글이 이란과 북한으로부터 목격하고 있는 것과 같은 종류의 남용을 방지하기 위해 설계되었지만, 펜타곤은 이를 걸림돌로 간주합니다.
한 국방부 관계자는 "우리 전사들은 전장에서 결정적 우위를 제공하는 모델에 접근할 수 있어야 한다"고 말하며 "전쟁을 수행하지 못하게 하는" 모델을 비판했습니다. 이러한 긴장은 지난 1월 니콜라스 마두로 베네수엘라 대통령을 체포한 급습 작전 당시 앤스로픽의 클로드(Claude) 모델이 팔란티어(Palantir)를 통해 사용되었다는 사실이 밝혀지면서 더욱 고조되었습니다. 이 사건은 "이중 용도 딜레마(Dual-Use Dilemma)"를 강조합니다. AI가 테러의 도구가 되는 것을 막기 위해 의도된 바로 그 보호 장치가 이제 국가 안보의 장애물로 프레임화되고 있는 것입니다.
업계에 미치는 전략적 시사점
사이버 범죄 남용에 대한 구글의 보고서와 앤스로픽을 둘러싼 펜타곤의 갈등이라는 두 이야기의 결합은 2026년 AI 보안 환경의 냉혹한 현실을 보여줍니다.
사이버 보안 전문가들에게 구글 보고서는 정교한 공격에 대한 "진입 장벽"이 무너졌음을 확인시켜 줍니다. 이제 초보 해커(Script kiddies)도 복잡한 악성코드를 생성할 수 있고, 비원어민도 완벽한 피싱 유인책을 만들 수 있습니다. "증류" 공격은 모든 기업 AI 도입자들에게 경고를 보냅니다. 당신의 모델이 곧 당신의 지적 재산(IP)이며, 그것은 현재 활발한 공격을 받고 있습니다.
정책 입안자들에게 이 모순은 극명합니다. 업계는 국가 지원 남용을 막기 위해 모델을 폐쇄하라는 요구(구글의 과제)와 국가 공인 군사 작전을 지원하기 위해 모델을 개방하라는 요구(앤스로픽의 과제)를 동시에 받고 있습니다. UNC2970 및 APT42와 같은 위협 행위자들이 계속해서 혁신함에 따라, 혁신, 안전 및 국방 능력 사이의 균형을 맞추는 서방의 능력이 다음 세대의 사이버 전쟁을 정의할 것입니다.
구글의 대응은 "강력한 생태계" 방어를 강화하여 이러한 행위자들과 연관된 계정과 인프라를 차단하는 것이었습니다. 그러나 "어니스트큐" 악성코드가 보여주듯이, API가 비즈니스를 위해 열려 있는 한, 악용을 위해서도 열려 있게 될 것입니다.
