AI 날개 단 '블랙 해커'…고도화된 해킹 생태계
지능화된 인공지능(AI)이 일상의 모든 영역을 파고드는 대전환의 시대, 기술의 화려한 도약만큼이나 시급한 과제는 바로 그 이면에 자리한 '디지털 신뢰'를 단단히 구축하는 일입니다. 지디넷코리아는 "AI 기술이 서 말이라도 보안으로 꿰어야 보배"라는 슬로건 아래, 약 두 달간 '2026 디지털 트러스트' 연중 기획 연재 및 캠페인을 진행합니다. 해킹·딥페이크·가짜뉴스·랜섬웨어 등 진화하는 보안 위협 속에서 단순한 기술 편익을 넘어 '안전한 AI 생태계'를 조성하기 위한 공론의 장을 마련하고, 기술과 보안이 공존하는 지속 가능한 디지털 미래의 이정표를 제시하고자 합니다. [편집자주] 2025년은 우리나라의 디지털 트러스트가 완전히 무너진 한 해였다. 기업 내부 데이터는 물론 정부, 국민의 민감한 정보까지 '블랙 해커'의 손에 넘어갔다. 올해 다시 디지털 트러스트를 재건하기 위해서는 튼튼한 방어 체계를 구축하는 것은 물론 공격자들, 즉 블랙 해커의 동향을 파악하는 것도 못지 않게 중요하다. 안전한 사이버 환경을 위협하는 공격자들은 다양한 형태로 존재한다. 데이터를 탈취·암호화하고 금전을 뜯어내는 랜섬웨어(Ransomware) 공격, 북한·중국·러시아 등 국가 배후 세력의 지능형 지속 공격(APT) 세력이 대표적이다. 이들 외에도 개별적으로 조직을 공격하고 데이터를 탈취해 암거래하는 세력까지 포함하면 호시탐탐 수많은 블랙 해커 조직들이 우리 사이버 환경을 위협하고 있다. 심지어 이들의 공격은 AI를 본격적으로 악용하기 시작하면서 양적·질적으로 고도화했다. 악성코드, 익스플로잇(취약점 공격) 등 공격에 활용되는 도구를 가져다 팔기도 하고, 아예 공격 자체를 서비스화해 돈을 버는 산업화된 생태계를 만들어내기도 했다. 블랙 해커를 전부 다 검거하면 가볍게 해결되는 문제라고 생각할 수 있지만, 여간 쉬운 일이 아니다. 추적을 피하기 위해 공격 시 흔적을 깔끔하게 지우는 것은 물론, 이들은 특수한 경로로만 접근해야 하는 다크웹 환경에서 활동하고 있어 검거에 어려움을 가중시킨다. 랜섬웨어 4배 폭증…AI 악용으로 공격 속도도 빨라져 랜섬웨어 공격자들은 기업·기관의 데이터를 사용하지 못하게 암호화·탈취하고 이를 풀어주는 대가로 피해 기업·기관에 금전을 요구한다. 심지어 다크웹 유출 전용 사이트(DLS)에 타이머를 띄워 놓고 임의로 협상 기한까지 설정해 놓는다. 이 시간 내로 돈을 보내지 않으면 탈취한 데이터를 모두 공개해버리겠다는 협박인 셈이다. 지난해 랜섬웨어 공격 조직은 공격 자체를 서비스화해 서비스형 랜섬웨어(RaaS) 형태로 수익을 챙기고 있으며, 협박을 통한 금전 확보 외에도 탈취한 데이터를 다크웹에서 판매하는 식으로 추가 수익을 올리고 있다. 지난달 글로벌 네트워크 보안 기업 포티넷이 발표한 '2026 글로벌 위협 동향 보고서'에 따르면 블록체인 기술 발달로 암호화폐를 통해 랜섬웨어 조직들이 자산을 현금화하려는 시도가 포착됐다. 최근에는 협박이 잘 통하지 않자, 랜섬웨어 공격 목표를 데이터 탈취로 방향을 틀었다. 실제로 4일 글로벌 보안 기업 카스퍼스키가 발표한 '랜섬웨어 동향 보고서'에 따르면 랜섬웨어 공격자들이 공격을 산업화하고 침투 과정을 자동화하며, 단순한 시스템 암호화보다 민감 정보 탈취 및 유출에 집중하고 있다는 분석이 나온 바 있다. 심지어 이런 공격은 AI의 발달과 맞물려 양적·질적으로 고도화됐다. 포티넷에 따르면 랜섬웨어 공격을 당한 전 세계 기업은 2024년 약 1600개 기업에서 지난해 7831개 기업으로 389%나 폭증했다. 평균 5.4일 걸리던 공격도 AI를 악용하기 시작하면서 공격이 자동화됨에 따라 공격 속도 역시 24시간 이내나 즉시 이뤄지는 수준으로 빨라졌다. 한국에서도 예스24, SGI서울보증, 여러 자산운용사 등 많은 기업들이 랜섬웨어에 홍역을 앓았다. 5일 랜섬웨어 추적 사이트 '랜섬웨어닷라이브'에 따르면 랜섬웨어 공격자들이 DLS에 피해자를 등록한 것을 기준으로 집계한 지난해 국내 랜섬웨어 피해 기업 수는 47곳으로, 2024년 22곳 대비 2배 이상 늘었다. 올해에도 공격이 계속되며 올해 6월 초까지만 해도 21곳이 공격을 받았다. 특히 이같은 조사 결과를 DLS 업로드를 기준으로 하기 때문에, 공격자가 특정되지 않은 교원그룹 랜섬웨어 등을 포함하면 실제 공격 건수는 이보다 많을 가능성이 크다. 랜섬웨어닷라이브에 따르면 지난해 가장 많이 한국을 공격한 랜섬웨어 조직은 러시아계 '킬린(Qilin)'으로, 지난해 한 해 동안에만 30곳이 넘는 한국 기업들을 공격했다. 이어 SGI서울보증, 인하대, 화천기계 등 국내 기업·기관을 대상으로 랜섬웨어 피해를 입힌 '건라(Gunra)'도 두 번째로 많은 피해를 입혔다. 킬린은 올해에도 5곳의 한국 기업을 공격한 것으로 집계됐으며, 건라 역시 올해 국제약품의 데이터를 탈취해 DLS에 데이터를 업로드했다. 김기문 한국인터넷진흥원(KISA) 랜섬웨어대응팀장은 "국내 랜섬웨어 침해사고 신고 건수는 2025년 기준 전년 대비 40.5% 늘어난 것으로 나타났으며, 올해 1분기에도 전년 동기 대비 123% 늘었다"며 "최근 랜섬웨어는 단순 암호화에 그치지 않고 암호화, 데이터유출, 디도스(분산 서비스 거부·DDoS) 공격, 집적협박과 함께, 취약점이 존재하는 정상적으로 인증받은 드라이버를 강제 설치해 관리자 권한을 획득하는 공격이 이뤄지고 있다. 또한 윈도우 내부에 이미 존재하는 정상적인 도구들만을 활용해 공격을 수행하는 방식, 즉 LotL 전략 등 탐지 우회와 인프라 무력화에 초점이 맞춰져 있다"고 진단했다. 김 팀장은 이어 "최근 록빗(LockBit), 킬린, 드래곤포스(Dragonforce) 등 랜섬웨어 범죄 조직들은 연합을 구성하고 혼합된 전술을 사용해 랜섬웨어 공급망 구조로 진화하고 있다"며 "이를 통해 랜섬웨어 조직이 검거되더라도 공격을 지속할 수 있는 회복 탄력성을 갖출 것으로 예상된다. 각 범죄조직 간 우수한 기법을 상호 학습 및 공유·결합해 랜섬웨어를 더 견고하게 제작할 가능성이 높다"고 경고했다. 그는 "갈수록 진화하는 지능형 랜섬웨어에 대응하기 위해서는 시그니처 기반이 아닌 행위 기반의 탐지가 필수"라며 "반드시 물리적 오프라인 백업 체계를 갖추고, 주기적인 복구 훈련을 통해 방어 중심이 아닌 회복 중심으로 설계 변경을 고려해야 한다"고 강조했다. "북한 지능형 지속 공격 계속된다"…AI로 공격 가속화 북한, 중국 등 국가와 연계된 공격자들은 한국 정부나 기업 내부에 오랜 기간 숨어 있다가 데이터를 지속적으로 탈취한다. 이들은 AI 플랫폼을 활용해 공격을 자동화하는 데다가 탐지 솔루션을 회피하고 오랜 기간 내부 시스템에 침투할 수 있는 역량을 키워 왔다. 이에 따라 공격은 점점 더 은밀하고 장기화되는 추세다. 공격을 위해 합법적인 소프트웨어나 도구를 활용하거나 신뢰할 수 있는 플랫폼을 악용하는 방식도 서슴치 않는다. 게다가 한국은 지정학적으로 북한, 중국, 러시아 등 국가 배후 해킹 세력과 밀접해 있으며, IT 산업이 빠르게 발전해 공격자들이 탈취하기에 유의미한 데이터가 많다는 특징이 있다. 글로벌 보안 기업 트렌드AI가 발표한 '2025 APT 보고서'에 따르면 APT 세력들은 AI를 탑재해 공격을 가속화하고 대응시간을 단축하며 위험 수위를 높이고 있는 것으로 나타났다. 보고서는 "APT 공격 그룹들은 더욱 스마트하고 효율적으로 진화하고 있으며, 높은 정밀도로 활동하고 표적 시스템 내에서 가능한 한 오랫동안 탐지를 피하며 활동한다"며 "지정학적·경제적 목표를 추구하는 지속적이고 반자율적인 실체로 진화했으며, 공격자들이 AI를 지원 도구로 실험하는 단계에서 침입 수명주기 전반에 걸쳐 통합하는 단계로 진화하면서 위협 환경이 크게 변화했다"고 진단했다. 이에 따라 "공격 캠페인들은 점점 더 은밀하고 장기화되었으며, 일반 네트워크 활동에 혼합되는 한편 AI의 지원에 따라 횡적 이동, 표적 결정, 권한 상승을 가속화하고 있다"며 "동시에 많은 APT 공격자들이 합법적 도구, 클라우드 서비스, 신뢰할 수 있는 플랫폼을 악용하는 방식을 선호하는 추세가 강해지고 있으며, 이 접근법은 AI 기반 회피 기술과 자연스럽게 결합된다. 그 결과 중요 산업 및 지역 허브에 대한 공격이 급격히 증가하고, 초기 접근부터 실제 피해까지의 공격 윈도우가 더욱 좁아지고 있다"고 분석했다. 한국은 APT 공격자들의 집중 공세를 받는 국가 중 하나다. 지난해 8월 미국 해킹 잡지 '프랙(phrack)'이 발표한 'APT Down: The North Korea Files' 보고서에 따르면 북한 혹은 중국의 지원을 받는 APT 세력이 한국과 대만 정부의 내부 시스템에 대한 지속적인 공격이 이어진 것으로 나타났다. 보고서에 따르면 이 공격 세력은 통일부·해양수산부 계정으로 국내 공무원 업무시스템인 온나라시스템에 침투한 것으로 알려졌다. 행정안전부도 이같은 침해사실을 공식 시인한 바 있다. 온나라시스템 외에도 국방부 방첩사령부(DCC), 외교부, 대검찰청 등 기관에 로그인 및 피싱 시도를 한 사실이 드러났다. 방첩사령부를 대상으로도 시도한 피싱 공격 로그가 확인됐다. 지니언스시큐리티센터(GSC) 센터장을 맡고 있는 문종현 지니언스 이사는 "보안상의 이유로 최근 두드러지는 APT 공격 세력에 대한 내용을 자세히 공개할 수는 없지만, 대표적인 북한 배후 APT 그룹인 라자루스, 김수키, APT37 등 공격 세력의 한국 대상 공격은 계속되고 있다"며 "특히 최근에는 APT 공격자들이 AI를 당연하게 사용하고 있다고 봐도 될 정도로 활용도가 뛰어나다. 악성 스크립트를 짜거나, 다크웹에 웹사이트를 만드는 것에 효과적으로 AI가 작용하기 때문에 공격자들도 AI를 모두 사용하고 있는 중"이라고 밝혔다. 문 이사는 이어 "APT 그룹들은 과거에는 방산기술, 2017년경에는 암호화폐, 러시아·우크라이나 전쟁 때에는 드론 등 사회적으로 꼭 필요하다고 보이는 기술을 탈취하는 데 주력하는 경향이 있다"며 "최근에는 AI 기술이 사회적으로 큰 파장을 불러오고 있는 만큼 AI 모델을 개발하는 기업이나 연구원을 대상으로 공격이 집중될 가능성이 크고, 실제 공격이 이뤄지고 있을 것으로 보인다. 이를 통해 AI를 무제한으로 활용하고 무기화하면서 APT 공격에 더 적극적으로 AI를 악용하려 시도할 것"이라고 경고했다. 헐값에 탈취 데이터 거래하는 불법 해킹 조직 블랙 해커로 불리는 랜섬웨어 조직, APT 세력들의 핵심 목표는 '내부 데이터 탈취'다. 민감한 데이터를 탈취해 협박·금전갈취를 하느냐, 첩보로 활용하느냐의 차이다. 결국 불법적인 도구나 기법을 활용해 내부 시스템에 침투하고, 데이터를 빼가는 것은 동일하다. 이같은 조직에 속해 있는 해커들은 사실 '회사원'으로 보는 것이 타당하다. 프랙 보고서에서 발표한 내용을 보면, 실제 APT 그룹은 공휴일에 공격을 쉬거나 정해진 시간에 공격이 멈추는 등 마치 회사원처럼 정해진 근무 시간이 있는 것으로 파악된다. 랜섬웨어 조직들 역시 누군가는 해킹 도구를 개발하고, 누군가는 기업을 협박하며 누군가는 실제 익스플로잇을 실행하는 등 철저히 분업화돼 있다. 블랙 해커들은 수익이 필요하다. 익명을 요구한 레드팀 보안 관계자는 "해커들은 불법적인 공간에서 불법으로 데이터를 사고 팔며 수익을 올린다. 이렇게 확보한 금액을 조직을 운영하거나 더 나은 해킹 도구를 개발하는 데 사용한다"며 "불법적인 공격 행위를 하기 때문에 수익 확보를 위해 어떤 불법 행위도 서슴지 않는다는 특징도 있다. 이에 불법 해킹 포럼이나 다크웹 내에 채널을 개설하고 이곳을 통해 데이터, 공격 도구, 계정 정보, 권한 등을 판매하는 것을 어렵지 않게 발견할 수 있다"고 설명했다. '브리치포럼스(Breachforums)', '다크포럼스(Darkforums)' 등 불법 해킹 포럼이 대표적이다. 김영표 포티넷코리아 정보보호최고책임자(CISO, 이사)는 지난달 28일 기자 간담회를 통해 "암호화폐를 통해 자산을 현금화하려는 시도가 이어진다. 불법 해킹 포럼 등 다크넷 마켓에서는 비트코인, 이더리움 등 가상자산 주소를 이용해 탈취한 데이터나 인포스틸러, 익스플로잇 도구, 취약점, 관리자 권한 등을 거래한다"며 "랜섬웨어, 멀웨어(악성코드) 등 서비스가 다른 공격 요소와 결합돼 단순 서비스 주기 이상의 산업화된 생태계가 형성됐다"고 밝힌 바 있다. 랜섬웨어 조직과 APT 그룹 외에도 이같은 다크웹 공간에서 활동하는 개별적인 해커들도 적지 않다. 한국 환경부 소스코드를 탈취했던 과거 브리치포럼스 운영자 '인텔브로커(IntelBroker)' 등이 대표적이다. 한국도 최근 피해를 입었다. 올해 초 다크포럼스에 '애슐리우드2022(AshleyWood2022)'라는 닉네임의 해커가 충북대를 비롯한 병원, 대학, 성형외과 웹페이지 등 소규모 웹사이트 약 20곳에서 탈취한 개인정보를 판매하는 게시글을 올린 정황을 지디넷코리아가 보도한 바 있다. 이런 공간은 익명으로 데이터를 거래할 수 있기 때문에 랜섬웨어 조직이나 APT 그룹도 탈취한 데이터를 손쉽게 판매한다. 더 나은 공격 도구나 침투에 활용할 수 있는 계정정보를 구매하는 것도 가능하다. 심지어 거래되는 가격도 헐값인 경우가 많다. 브리치포럼스의 경우 암호화폐를 통한 거래도 가능하지만 포럼 내에서 거래되는 화폐 단위인 '크레딧'을 통해 데이터를 사고 파는 것이 가능하다. 2024년 기준 30크레딧에 8유로(한화 약 1만4337원) 정도인데, 데이터를 1크레딧, 3크레딧 수준에서 판매하는 것도 발견된다. 전 세계 민감할 수 있는 데이터들이 헐값에 블랙 해커들 사이에서 판매되고 있는 것이다. 다크웹 특성상 공격 세력 '일망타진' 어렵다…"국제 공조 확대 필요" 공격자들을 모조리 찾아내 검거하는 것은 사실상 불가능하다. 철저한 익명화와 더불어 추적이 어려운 인터넷 환경인 다크웹에서 점조직 형태로 주로 활동하기 때문이다. 다크웹은 접속 허가가 필요한 네트워크나 특정 소프트웨어로만 접속할 수 있는 또 다른 인터넷 환경이다. 일반적으로 사용자가 인터넷에 접속할 때, 구글이나 네이버 등 브라우저를 통해 인터넷에 접속하게 된다. 이는 '표면 웹(Surface Web)'으로 누구나 접속 가능한 공간이다. 웬만한 웹 페이지는 브라우저를 통해 접근할 수 있다. 그러나 인터넷 환경은 더 거대하다. 보안업계에서는 표면 웹은 '빙산의 일각'에 비유해 설명한다. 말 그대로 표면 위에 떠 있는 웹 환경일 뿐, 수면 아래 더 거대한 인터넷이 있다는 것이다. 이를 '딥웹(Deep Web)'이라고 하는데, 네이버나 구글처럼 일반적인 브라우저를 통해 검색되지 않는 인터넷 공간을 말한다. 이에 특수 브라우저로 접근하거나 접속 허가가 필요한 네트워크 환경에 구현된다. 웹페이지를 찾아다니는 웹 크롤러에 의해 걸리지 않아 브라우저 검색을 통해 찾을 수 없다. 회사 내부망 등 일반적으로 접근할 수 없는 네트워크 환경이나, 개인 클라우드 공간, 이메일을 주고받는 웹 환경도 딥웹에 포함된다. 다크웹은 딥웹보다 더 깊은 공간에 구현된 웹 환경이다. 오직 특수 브라우저를 통해서만 접근이 가능하며, 철저한 익명화를 특징으로 한다. 이에 불법 해킹 포럼이나 탈취 데이터 거래 환경이 다크웹상에서 조성되고 있는 것이다. 다만 다크웹이 100% 불법은 아니다. 익명화가 필요한 사람이나 콘텐츠가 필요한 경우 다크웹을 활용할 수 있다. 하지만 마약, 불법 데이터 거래, 무기 거래, 음란물 서비스 등 익명화로 추적이 어렵다는 특징을 악용해 불법적인 행위가 벌어지고 있는 곳임은 분명하다. 이용준 극동대 해킹보안학과 교수는 "실제 사이버 범죄자를 검거하는 과정은 가상자산 지갑 추적뿐 아니라 공격자가 운영하는 서버나 패널을 압수해 내부 계정, 피해자 목록, 접속기록을 확보하는 방식, 호스팅 업체·도메인 등록기관·거래소와 협력해 운영 흔적을 추적하는 방식 등 여러 방식이 수사에 활용된다"며 "이에 사이버 위협 행위자는 익명화 도구와 다크웹을 활용하기 때문에 단순 추적만으로는 검거가 어렵다"고 설명했다. 이 교수는 이어 "랜섬웨어나 APT 조직은 피해자는 한 국가에 두고, 서버는 다른 국가에 두며, 자금은 또 다른 국가의 거래소나 믹서를 거치는 방식으로 활동하기 때문에 한 국가의 수사권만으로는 한계가 분명하다"며 "국가 간 정보 공유, 증거보전 절차, 가상자산 추적 협력, 신속한 서버 압수와 도메인 차단 등 수사 전주기 체계가 강화돼야 한다"고 강조했다.
