서울 강남의 한 IT기업 인사팀 A씨는 최근 한 지원자의 이력서 파일을 열었다가 보안 솔루션 경고창이 뜨는 바람에 서둘러 프로그램을 닫았다.
겉보기에는 평범한 '입사지원서.hwp'였지만 내부 분석 결과 계정 정보와 내부 문서를 훔치는 악성코드가 숨겨져 있었다는 것이 보안 업체의 설명이다.
실제 사례는 아니지만 국내외 공공 보고서와 보안업계가 공개한 공격 패턴을 종합하면 이런 유형의 스피어피싱이 이미 현실화한 상황이라는 평가가 나온다.
국내 보안업계와 국제 위협 분석 보고서에 따르면 최근 몇 년 새 우리나라와 해외 기업을 노린 APT(지능형 지속 공격) 중 상당수가 구직자 위장·협업 제안·연구 초청 메일 등 정상 업무 커뮤니케이션을 흉내 낸 스피어피싱 방식을 활용하고 있다.
특히 북한 정찰총국 산하로 분류되는 김수키(Kimsuky)·라자루스(Lazarus) 등 북한 연계 조직이 우리나라와 미국, 일본, 유럽의 외교·금융·기술·언론·연구기관 등을 상대로 이 같은 수법을 반복 사용해 온 정황이 꾸준히 확인되고 있다.
◇ 한국인을 정교하게 모사한 이메일…HR·재무 부서 노려
국내 보안업체와 정부 산하 기관이 공개한 분석 자료에 따르면 북한 연계로 추정되는 APT 그룹들은 실제 우리나라 대학·기업에서 사용하는 이력서 항목 구성과 자기소개서 문체, 한글(HWP)·워드(DOCX) 파일 형식을 세밀하게 모방해 인사·재무·연구 부서 담당자에게 접근하는 사례가 반복적으로 포착됐다.
언론사 직원을 사칭해 정책 연구기관 연구원에게 악성 파일을 보내거나 군 관계 기관에 AI 합성으로 제작한 군무원증 이미지를 첨부해 신뢰를 얻으려 한 공격도 보고됐다.
이러한 공격은 단순한 계정 탈취를 넘어 장기간 내부망에 잠입해 자료를 빼내거나 추가 공격의 발판을 마련하는 데 목적이 있는 APT 전술의 일부로 평가된다.
실제로 국내외 보고서에서는 북한 연계 그룹이 이메일·프로필·이력서를 통해 먼저 신뢰를 확보한 뒤 악성 문서를 실행하게 하거나 악성 링크를 클릭하도록 유도하는 방식으로 공격 초기 단계를 설계하는 것으로 분석하고 있다.
◇ 생성형 AI로 자연스러워진 한국어…판별 어려워
최근 위협 분석에서 두드러지는 변화는 공격 이메일 문체가 과거보다 훨씬 자연스러워졌다는 점이다.
과거 피싱 메일에서는 맞춤법 오류나 번역투 표현이 단서가 되는 경우가 많았지만 이제는 한국어 문장 구조와 비즈니스 이메일 스타일을 상당 수준 재현한 메시지가 늘면서 사람 눈으로는 구분이 훨씬 어려워졌다는 것이 현장 전문가들의 공통된 평가다.
국제 연구와 위협 보고서는 이 같은 변화의 배경으로 생성형 AI의 활용을 지목한다.
사회공학·피싱 공격에 대형 언어모델(LLM)을 활용하면 자연스러운 언어로 된 이메일과 문서를 대량으로 수신자에게 맞게 개인화해 생성할 수 있다.
유럽연합 사이버보안기구(ENISA)는 위협 보고서에서 생성형 AI가 피싱과 소셜엔지니어링 공격의 "정교함과 설득력을 높이는 요인"이라고 지적했고, 일부 산업 분석에서는 2025년 초 관측된 글로벌 피싱 메일의 상당 비율에서 AI 생성 흔적이 확인됐다고 평가했다.
북한 연계 조직도 예외가 아니다.
미국과 우리나라 보안 기관, 민간 업체 자료에 따르면 북한 배후로 추정되는 해커 그룹이 생성형 AI로 가짜 군 신분증 이미지를 만들어 군 관계 기관을 노리거나 해외 IT 취업을 위한 허위 이력서·기술 평가 답안을 작성하는 데 AI를 활용한 사례가 공개됐다.
미국 AI 기업 앤트로픽(Anthropic)은 북한 연계 계정이 AI를 이용해 가상의 신원과 이력서를 만들어 해외 IT업계에 위장 취업을 시도하고, 채용 후 실제 업무 수행에도 AI를 활용한 정황을 보고서에서 밝히기도 했다.
◇ 악성 문서 구조도 정교해…이력서·제안서 포맷 위장
우리나라 기업·기관을 겨냥한 악성 문서 공격은 전 세계에서 관찰되는 일반적인 악성 문서 캠페인 기법과 궤를 같이한다.
문서 형식 자체는 정상적인 HWP·DOCX·PDF처럼 보이지만 내부에 매크로나 악성 스크립트를 삽입해 수신자가 문서를 열거나 '콘텐츠 사용'·'매크로 활성화' 등을 허용할 때 악성코드가 실행되도록 설계하는 방식이다.
일부 DOCX 문서에서는 매크로 자동 실행을 유도하거나 악성 템플릿·원격 로더를 참조하도록 해 감염 단계를 숨기는 기법이 확인됐다.
압축파일(.zip) 악용도 이어진다.
공격자는 '입사지원서.pdf.exe'처럼 확장자를 이중으로 표기해 실행 파일을 문서처럼 보이게 만들거나 '이력서.hwp.zip' 형태로 압축파일 내부에 악성 실행 파일을 숨겨 수신자가 확장자를 제대로 확인하지 못하게 유도한다.
구글 드라이브·드롭박스·깃허브 등 정상 클라우드·코드 공유 플랫폼의 링크를 이용해 악성 파일을 전달하는 사례도 국제 위협 보고서에 자주 등장하고 있다.
◇ 해외도 동일 패턴 포착…북한 연계 조직의 노림수
북한 연계 조직의 위장 프로필·가짜 이력서 전술은 우리나라에서만 확인되는 현상이 아니라 미국·유럽·아시아 전역에서 보고되고 있다.
미국 재무부·국토안보부·FBI 등은 북한 IT 인력들이 가짜 영어 이름과 경력, 허위 깃허브·링크드인 프로필, 변조된 이력서를 사용해 서방 IT·게임·AI 기업에 원격 근로자로 취업을 시도한다고 경고했다.
이 과정에서 이력서와 자기소개서, 코딩 과제 답안 등을 AI로 지원받는 정황도 국제 언론과 보안 업계 분석에서 다수 언급된다.
국내에서도 북한 배후로 추정되는 해커 조직이 국세청·정부기관·언론사·군 기관 등을 사칭한 스피어피싱으로 특정 개인의 PC·스마트폰을 장악하고, 카카오톡·이메일 계정을 탈취해 추가 악성코드를 유포한 사례가 보도됐다.
이런 사례들은 북한 사이버 조직이 특정 고위 인물이나 기관만이 아니라 일반 직장인·전문 상담사·탈북민 청소년 등 다양한 개인을 공격 대상으로 삼고 있음을 보여준다.
기업과 기관들은 반복되는 스피어피싱에 대응하기 위해 인사·재무·연구 부서 이메일 앞단에 AI 기반 문서·문장 분석 및 이상 탐지 기능을 적용한 솔루션을 도입하는 추세다.
자연어 처리(NLP) 기술로 문장의 스타일·통계적 특징·문맥을 분석해 기존 정상 트래픽과 다른 패턴을 보이는 피싱 메일을 걸러내거나 악성 매크로·스크립트의 코드 구조를 머신러닝으로 분류하는 방식이다.
그러나 공격자 역시 생성형 AI를 활용해 탐지 모델이 아직 학습하지 않은 새로운 표현·문체·문서 구조를 만들어 내고 합법 플랫폼·클라우드 인프라를 적극 악용하면서 보안 시스템을 우회하려 한다는 지적이 나온다.
◇ 개인도 북한 해커의 목표…꼼꼼히 확인해야
전문가들은 "북한 연계 그룹의 공격이 국가 기간망과 대기업을 넘어서 일반 직장인과 개인의 PC·스마트폰, 메신저 계정까지 깊숙이 침투하고 있다"며 개인 차원의 기본 보안 수칙 준수를 강조한다.
특히 한국에서 널리 쓰이는 한글 문서 양식과 한국식 비즈니스 문체를 정교하게 흉내 내기 때문에 정상적인 업무 이메일과 구분이 쉽지 않다는 점이 위험 요소다.
보안 전문가들은 이메일 발신자 주소의 도메인이 실제 기관·기업 공식 도메인과 한 글자라도 다른 부분이 없는지 꼼꼼히 확인해야 한다고 권고한다.
압축파일(.zip 등) 내부에 .exe, .scr, .bat 등 실행 파일이 숨어 있지 않은지 확인하고 출처가 불분명한 첨부파일은 회사 내부 백신 검사 등 사전 점검을 거친 뒤 열어야 한다.
본문에 포함된 구글 드라이브·드롭박스·깃허브 등 외부 링크 위에 마우스를 올려 실제 URL을 확인하고 예상과 다르거나 의심스럽다면 열어서는 안 된다.
의심되는 이메일·첨부파일을 받았을 경우 사내 보안 담당자나 사이버 신고 채널에 공유해 추가 피해를 막고 위협 정보를 축적하는 것이 중요하다.
president21@yna.co.kr
<연합뉴스>