.jpg)
[3줄 요약]
1. 북한 공격 세력 ‘페이머스 천리마’, 생성형 AI 활용해 320개 이상 기업 침투
2. 공격자, AI로 만든 가짜 이력서, 딥페이크 인터뷰, 허위 신분 악용해 내부자 위협 확장
3. AI 에이전트, 차세대 공격 표적으로 급부상… 개발 도구 취약점 악용 사례 확인
[보안뉴스 한세희 기자] 북한과 연계된 공격자 그룹이 작년에만 320개 이상 기업에 침투한 것으로 나타났다. 해커들에 의한 생성형 AI의 무기화도 빨라지고 있다.
1일 크라우드스트라이크가 260개 이상 공격 세력을 추적한 내용을 바탕으로 공개한 ‘2025 위협 헌팅 보고서’에 따르면, 북한 정부와 연계된 공격자 집단 ‘페이머스 천리마’는 생성형 AI를 활용해 내부자 공격 프로그램의 전체 과정을 자동화했다.
이들은 AI 기반 가짜 이력서 작성, 딥페이크 인터뷰, 허위 신분을 통한 기술 과제 수행 등 새로운 전술을 활용해 내부자 위협을 지속적으로 확장했다. 작년에만 320개 이상의 기업에 침투했다. 이는 전년대비 220% 증가한 수치다.
또 이란 연계 공격 세력 ‘차밍 키튼’(Charming Kitten)은 초거대언어모델(LLM) 기반 피싱으로 미국과 유럽의 기업과 기관을 공략했고, 러시아와 연계된 ‘엠버 베어’(Ember Bear)는 친러시아 성향 메시지를 확산시켰다.
이처럼 공격 그룹이 AI를 무기로 삼아 공격 효율을 높이는 AI 무기화가 속도를 내는 한편, 기업이 사용하는 AI 에이전트를 표적으로 한 공격도 급증하고 있다.
생성형 AI 에이전트 개발 도구의 취약점을 악용해 인증 없이 접근하고, 지속성을 확보하며, 자격 증명을 탈취하고, 악성코드와 랜섬웨어를 배포하는 사례들이 확인됐다. AI 에이전트 혁신으로 기업 보안 환경이 빠르게 변화함에 따라, 자율형 워크플로우와 비인간 신원이 차세대 공격 표적으로 떠오르고 있다.
사이버 범죄 조직과 해커들이 AI를 악용해 스크립트를 작성하고 악성코드를 개발하는 사례도 늘었다. 크라우드스트라이크는 ‘펑크락커’(Funklocker)와 ‘스파크캣’(SparkCat) 등을 AI 기반 악성코드의 위협을 보여주는 초기 사례로 꼽았다.
최근 가장 활발히 활동하는 ‘스캐더드 스파이더’(Scattered Spider) 그룹도 공격 고삐를 늦추지 않고 있다. 보이스피싱과 서비스 센터 사칭을 통해 자격 증명을 재설정하고 다중인증(MFA)를 우회했으며, SaaS 및 클라우드 환경 전반으로 횡적 이동을 시도했다. 특히 초기 침투부터 랜섬웨어 배포까지 불과 24시간이 걸리지 않은 사례도 확인됐다.
클라우드 침해 공격은 전년 대비 136% 늘었고, 이중 40%는 중국 연계 공격 세력의 소행이었다. ‘제네시스 판다’(GENESIS PANDA)나 ‘머키 판다’(MURKY PANDA)는 클라우드 설정 오류와 신뢰된 접근 권한을 악용해 탐지를 회피해 눈길을 끌었다.
애덤 마이어스 크라우드스트라이크 공격 대응 작전 총괄은 “공격자들은 생성형 AI를 악용해 사회공학 공격에 속도를 내고 있으며, 기업이 도입한 AI 시스템을 주요 표적으로 삼는다”며 “이들은 SaaS 플랫폼, 클라우드 콘솔, 고급 권한 계정을 노리는 동일한 방식으로 AI 에이전트를 공략한다. 향후 사이버 보안의 핵심은 기업이 자사 AI를 어떻게 보호하느냐에 달렸다”고 말했다.
[한세희 기자(boan@boannews.com)]
1. 북한 공격 세력 ‘페이머스 천리마’, 생성형 AI 활용해 320개 이상 기업 침투
2. 공격자, AI로 만든 가짜 이력서, 딥페이크 인터뷰, 허위 신분 악용해 내부자 위협 확장
3. AI 에이전트, 차세대 공격 표적으로 급부상… 개발 도구 취약점 악용 사례 확인
[보안뉴스 한세희 기자] 북한과 연계된 공격자 그룹이 작년에만 320개 이상 기업에 침투한 것으로 나타났다. 해커들에 의한 생성형 AI의 무기화도 빨라지고 있다.
1일 크라우드스트라이크가 260개 이상 공격 세력을 추적한 내용을 바탕으로 공개한 ‘2025 위협 헌팅 보고서’에 따르면, 북한 정부와 연계된 공격자 집단 ‘페이머스 천리마’는 생성형 AI를 활용해 내부자 공격 프로그램의 전체 과정을 자동화했다.
이들은 AI 기반 가짜 이력서 작성, 딥페이크 인터뷰, 허위 신분을 통한 기술 과제 수행 등 새로운 전술을 활용해 내부자 위협을 지속적으로 확장했다. 작년에만 320개 이상의 기업에 침투했다. 이는 전년대비 220% 증가한 수치다.
또 이란 연계 공격 세력 ‘차밍 키튼’(Charming Kitten)은 초거대언어모델(LLM) 기반 피싱으로 미국과 유럽의 기업과 기관을 공략했고, 러시아와 연계된 ‘엠버 베어’(Ember Bear)는 친러시아 성향 메시지를 확산시켰다.
이처럼 공격 그룹이 AI를 무기로 삼아 공격 효율을 높이는 AI 무기화가 속도를 내는 한편, 기업이 사용하는 AI 에이전트를 표적으로 한 공격도 급증하고 있다.
생성형 AI 에이전트 개발 도구의 취약점을 악용해 인증 없이 접근하고, 지속성을 확보하며, 자격 증명을 탈취하고, 악성코드와 랜섬웨어를 배포하는 사례들이 확인됐다. AI 에이전트 혁신으로 기업 보안 환경이 빠르게 변화함에 따라, 자율형 워크플로우와 비인간 신원이 차세대 공격 표적으로 떠오르고 있다.
사이버 범죄 조직과 해커들이 AI를 악용해 스크립트를 작성하고 악성코드를 개발하는 사례도 늘었다. 크라우드스트라이크는 ‘펑크락커’(Funklocker)와 ‘스파크캣’(SparkCat) 등을 AI 기반 악성코드의 위협을 보여주는 초기 사례로 꼽았다.
최근 가장 활발히 활동하는 ‘스캐더드 스파이더’(Scattered Spider) 그룹도 공격 고삐를 늦추지 않고 있다. 보이스피싱과 서비스 센터 사칭을 통해 자격 증명을 재설정하고 다중인증(MFA)를 우회했으며, SaaS 및 클라우드 환경 전반으로 횡적 이동을 시도했다. 특히 초기 침투부터 랜섬웨어 배포까지 불과 24시간이 걸리지 않은 사례도 확인됐다.
클라우드 침해 공격은 전년 대비 136% 늘었고, 이중 40%는 중국 연계 공격 세력의 소행이었다. ‘제네시스 판다’(GENESIS PANDA)나 ‘머키 판다’(MURKY PANDA)는 클라우드 설정 오류와 신뢰된 접근 권한을 악용해 탐지를 회피해 눈길을 끌었다.
애덤 마이어스 크라우드스트라이크 공격 대응 작전 총괄은 “공격자들은 생성형 AI를 악용해 사회공학 공격에 속도를 내고 있으며, 기업이 도입한 AI 시스템을 주요 표적으로 삼는다”며 “이들은 SaaS 플랫폼, 클라우드 콘솔, 고급 권한 계정을 노리는 동일한 방식으로 AI 에이전트를 공략한다. 향후 사이버 보안의 핵심은 기업이 자사 AI를 어떻게 보호하느냐에 달렸다”고 말했다.
[한세희 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)