AI 날개 단 '블랙 해커'…고도화된 해킹 생태계

화천기계지디넷코리아2026.06.09 00:00

[디지털 트러스트⑪] 진화하는 악당들: 블랙해커 심층 분석지능화된 인공지능(AI)이 일상의 모든 영역을 파고드는 대전환의 시대, 기술의 화려한 도약만큼이나 시급한 과제는 바로 그 이면에 자리한 ‘디지털 신뢰’를 단단히 구축하는 일입니다. 지디넷코리아는 "AI 기술이 서 말이라도 보안으로 꿰어야 보배"라는 슬로건 아래, 약 두 달간 '2026 디지털 트러스트' 연중 기획 연재 및 캠페인을 진행합니다. 해킹·딥페이크·가짜뉴스·랜섬웨어 등 진화하는 보안 위협 속에서 단순한 기술 편익을 넘어 '안전한 AI 생태계'를 조성하기 위한 공론의 장을 마련하고, 기술과 보안이 공존하는 지속 가능한 디지털 미래의 이정표를 제시하고자 합니다. [편집자주]2025년은 우리나라의 디지털 트러스트가 완전히 무너진 한 해였다. 기업 내부 데이터는 물론 정부, 국민의 민감한 정보까지 '블랙 해커'의 손에 넘어갔다. 올해 다시 디지털 트러스트를 재건하기 위해서는 튼튼한 방어 체계를 구축하는 것은 물론 공격자들, 즉 블랙 해커의 동향을 파악하는 것도 못지 않게 중요하다.안전한 사이버 환경을 위협하는 공격자들은 다양한 형태로 존재한다. 데이터를 탈취·암호화하고 금전을 뜯어내는 랜섬웨어(Ransomware) 공격, 북한·중국·러시아 등 국가 배후 세력의 지능형 지속 공격(APT) 세력이 대표적이다. 이들 외에도 개별적으로 조직을 공격하고 데이터를 탈취해 암거래하는 세력까지 포함하면 호시탐탐 수많은 블랙 해커 조직들이 우리 사이버 환경을 위협하고 있다.심지어 이들의 공격은 AI를 본격적으로 악용하기 시작하면서 양적·질적으로 고도화했다. 악성코드, 익스플로잇(취약점 공격) 등 공격에 활용되는 도구를 가져다 팔기도 하고, 아예 공격 자체를 서비스화해 돈을 버는 산업화된 생태계를 만들어내기도 했다.블랙 해커를 전부 다 검거하면 가볍게 해결되는 문제라고 생각할 수 있지만, 여간 쉬운 일이 아니다. 추적을 피하기 위해 공격 시 흔적을 깔끔하게 지우는 것은 물론, 이들은 특수한 경로로만 접근해야 하는 다크웹 환경에서 활동하고 있어 검거에 어려움을 가중시킨다.(사진=이미지투데이)랜섬웨어 4배 폭증…AI 악용으로 공격 속도도 빨라져랜섬웨어 공격자들은 기업·기관의 데이터를 사용하지 못하게 암호화·탈취하고 이를 풀어주는 대가로 피해 기업·기관에 금전을 요구한다. 심지어 다크웹 유출 전용 사이트(DLS)에 타이머를 띄워 놓고 임의로 협상 기한까지 설정해 놓는다. 이 시간 내로 돈을 보내지 않으면 탈취한 데이터를 모두 공개해버리겠다는 협박인 셈이다.랜섬웨어 그룹 킬린이 KT알티미디어의 데이터를 탈취했으며 3일 내로 금전을 지불하라고 타이머를 띄워 놓고 협박하는 게시글.(사진=다크웹 캡처)지난해 랜섬웨어 공격 조직은 공격 자체를 서비스화해 서비스형 랜섬웨어(RaaS) 형태로 수익을 챙기고 있으며, 협박을 통한 금전 확보 외에도 탈취한 데이터를 다크웹에서 판매하는 식으로 추가 수익을 올리고 있다. 지난달 글로벌 네트워크 보안 기업 포티넷이 발표한 '2026 글로벌 위협 동향 보고서'에 따르면 블록체인 기술 발달로 암호화폐를 통해 랜섬웨어 조직들이 자산을 현금화하려는 시도가 포착됐다.최근에는 협박이 잘 통하지 않자, 랜섬웨어 공격 목표를 데이터 탈취로 방향을 틀었다. 실제로 4일 글로벌 보안 기업 카스퍼스키가 발표한 '랜섬웨어 동향 보고서'에 따르면 랜섬웨어 공격자들이 공격을 산업화하고 침투 과정을 자동화하며, 단순한 시스템 암호화보다 민감 정보 탈취 및 유출에 집중하고 있다는 분석이 나온 바 있다.심지어 이런 공격은 AI의 발달과 맞물려 양적·질적으로 고도화됐다. 포티넷에 따르면 랜섬웨어 공격을 당한 전 세계 기업은 2024년 약 1600개 기업에서 지난해 7831개 기업으로 389%나 폭증했다. 평균 5.4일 걸리던 공격도 AI를 악용하기 시작하면서 공격이 자동화됨에 따라 공격 속도 역시 24시간 이내나 즉시 이뤄지는 수준으로 빨라졌다.랜섬웨어 그룹 건라가 자신들의 다크웹에 SGI서울보증의 13.2TB 규모 데이터를 탈취했다고 올린 게시글.(사진=건라 다크웹 캡처)한국에서도 예스24, SGI서울보증, 여러 자산운용사 등 많은 기업들이 랜섬웨어에 홍역을 앓았다. 5일 랜섬웨어 추적 사이트 '랜섬웨어닷라이브'에 따르면 랜섬웨어 공격자들이 DLS에 피해자를 등록한 것을 기준으로 집계한 지난해 국내 랜섬웨어 피해 기업 수는 47곳으로, 2024년 22곳 대비 2배 이상 늘었다. 올해에도 공격이 계속되며 올해 6월 초까지만 해도 21곳이 공격을 받았다. 특히 이같은 조사 결과를 DLS 업로드를 기준으로 하기 때문에, 공격자가 특정되지 않은 교원그룹 랜섬웨어 등을 포함하면 실제 공격 건수는 이보다 많을 가능성이 크다.랜섬웨어닷라이브에 따르면 지난해 가장 많이 한국을 공격한 랜섬웨어 조직은 러시아계 '킬린(Qilin)'으로, 지난해 한 해 동안에만 30곳이 넘는 한국 기업들을 공격했다. 이어 SGI서울보증, 인하대, 화천기계 등 국내 기업·기관을 대상으로 랜섬웨어 피해를 입힌 '건라(Gunra)'도 두 번째로 많은 피해를 입혔다. 킬린은 올해에도 5곳의 한국 기업을 공격한 것으로 집계됐으며, 건라 역시 올해 국제약품의 데이터를 탈취해 DLS에 데이터를 업로드했다.김기문 한국인터넷진흥원(KISA) 랜섬웨어대응팀장은 "국내 랜섬웨어 침해사고 신고 건수는 2025년 기준 전년 대비 40.5% 늘어난 것으로 나타났으며, 올해 1분기에도 전년 동기 대비 123% 늘었다"며 "최근 랜섬웨어는 단순 암호화에 그치지 않고 암호화, 데이터유출, 디도스(분산 서비스 거부·DDoS) 공격, 집적협박과 함께, 취약점이 존재하는 정상적으로 인증받은 드라이버를 강제 설치해 관리자 권한을 획득하는 공격이 이뤄지고 있다. 또한 윈도우 내부에 이미 존재하는 정상적인 도구들만을 활용해 공격을 수행하는 방식, 즉 LotL 전략 등 탐지 우회와 인프라 무력화에 초점이 맞춰져 있다"고 진단했다.김 팀장은 이어 "최근 록빗(LockBit), 킬린, 드래곤포스(Dragonforce) 등 랜섬웨어 범죄 조직들은 연합을 구성하고 혼합된 전술을 사용해 랜섬웨어 공급망 구조로 진화하고 있다"며 "이를 통해 랜섬웨어 조직이 검거되더라도 공격을 지속할 수 있는 회복 탄력성을 갖출 것으로 예상된다. 각 범죄조직 간 우수한 기법을 상호 학습 및 공유·결합해 랜섬웨어를 더 견고하게 제작할 가능성이 높다"고 경고했다.그는 "갈수록 진화하는 지능형 랜섬웨어에 대응하기 위해서는 시그니처 기반이 아닌 행위 기반의 탐지가 필수"라며 "반드시 물리적 오프라인 백업 체계를 갖추고, 주기적인 복구 훈련을 통해 방어 중심이 아닌 회복 중심으로 설계 변경을 고려해야 한다"고 강조했다."북한 지능형 지속 공격 계속된다"…AI로 공격 가속화북한, 중국 등 국가와 연계된 공격자들은 한국 정부나 기업 내부에 오랜 기간 숨어 있다가 데이터를 지속적으로 탈취한다. 이들은 AI 플랫폼을 활용해 공격을 자동화하는 데다가 탐지 솔루션을 회피하고 오랜 기간 내부 시스템에 침투할 수 있는 역량을 키워 왔다. 이에 따라 공격은 점점 더 은밀하고 장기화되는 추세다. 공격을 위해 합법적인 소프트웨어나 도구를 활용하거나 신뢰할 수 있는 플랫폼을 악용하는 방식도 서슴치 않는다. 게다가 한국은 지정학적으로 북한, 중국, 러시아 등 국가 배후 해킹 세력과 밀접해 있으며, IT 산업이 빠르게 발전해 공격자들이 탈취하기에 유의미한 데이터가 많다는 특징이 있다.글로벌 보안 기업 트렌드AI가 발표한 '2025 APT 보고서'에 따르면 APT 세력들은 AI를 탑재해 공격을 가속화하고 대응시간을 단축하며 위험 수위를 높이고 있는 것으로 나타났다. 보고서는 "APT 공격 그룹들은 더욱 스마트하고 효율적으로 진화하고 있으며, 높은 정밀도로 활동하고 표적 시스템 내에서 가능한 한 오랫동안 탐지를 피하며 활동한다"며 "지정학적·경제적 목표를 추구하는 지속적이고 반자율적인 실체로 진화했으며, 공격자들이 AI를 지원 도구로 실험하는 단계에서 침입 수명주기 전반에 걸쳐 통합하는 단계로 진화하면서 위협 환경이 크게 변화했다"고 진단했다.트렌드AI가 발표한 APT 공격 빈도별 주요 표적 산업 및 공격 건수의 2024년 대비 2

원문 보기 ↗