[보안뉴스 김형근 기자] 파키스탄 연계 해킹 그룹 ‘트랜스페어런트 트라이브’(Transparent Drive, APT36)가 AI 코딩 도구를 무기 삼아 악성코드를 대량 생산하는 것으로 밝혀졌다.

이들은 기존의 정교한 침투 기술을 버리고, 수많은 일회성 악성코드를 폭포수처럼 쏟아내어 보안망을 교란하는 이른바 ‘분산 탐지 거부’(DDoS) 전술을 구사한다.


[출처: gettyimagesbank]

해커들은 AI 모델의 도움을 받아 님(Nim), 지그(Zig), 크리스탈(Crystal) 같은 희귀한 프로그래밍 언어로 악성코드를 쉽게 만들어낸다.

또 슬랙(Slack), 디스코드(Discord), 구글 스프레드시트 등 정상적인 기업용 서비스를 명령 제어(C2) 채널로 악용해 방어자의 눈을 완벽하게 속인다.

루마니아에 본사를 둔 글로벌 보안업체 비트디펜더(Bitdefender)는 이 공격 캠페인이 인도 정부, 해외 대사관, 그리고 아프가니스탄 정부를 주요 타깃으로 삼았다고 발표했다. 공격자들은 목표물을 정확하게 노려 고도의 해킹 기법을 수행했다.

공격자들은 링크드인(LinkedIn)에서 고위급 타깃을 물색한 뒤, LNK 파일을 숨긴 ZIP 파일이나 가짜 PDF 다운로드 링크를 피싱 메일로 던져 피해자를 낚는다.

피해자가 무심코 파일을 실행하면 해커들은 메모리에서 파워쉘 스크립트를 즉각 구동하고, 코발트 스트라이크나 하복(Havoc) 같은 강력한 백도어를 침투시킨다.

해커들은 AI로 대충 짠 이른바 ‘바이브웨어’(Vibeware)를 동원해 윈도우, 리눅스, 맥OS 등 운영체제를 가리지 않고 파고든다.

파일 유출을 전담하는 ‘루미너스 스틸러’(LuminousStealer)와 브라우저 쿠키를 훔치는 ‘루미너스 쿠키즈’(LuminousCookies)가 이들이 찍어낸 대표적인 악성코드다.

비트디펜더는 이들의 코드가 논리적 오류투성이인 ‘기술적 퇴보’를 보여주지만, 역설적으로 해킹의 진입 장벽을 완전히 무너뜨렸다고 경고했다.

공격자들은 AI를 통해 해킹을 산업화해, 최소한의 노력만으로도 공격 규모를 기하급수적으로 증가시킨다.

방어자들은 희귀 언어와 정상 트래픽으로 교묘하게 위장한 이 거대한 쓰레기 코드 물량 공세에 맞서, 시그니처 기반 탐지를 버리고 능동적 방어막을 새롭게 세워야 한다.

[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>