id	CTI-2026-0628-DPRK-AI
title	The RGB With an LLM in Hand - A Precise Analysis of the 2026 Qualitative Shift in DPRK AI-Enabled Hacking
...

LLM을 손에 쥔 RGB - 북한의 AI 기반 해킹에서 나타나는 2026년의 질적 변화에 대한 정밀 분석

보고서 ID CTI-2026-0628-DPRK-AI · 발행일 2026-06-28 · 분류 TLP:GREEN · 심각도 🔴 높음 (CRITICAL 단계로 격상 중)
저자 Dennis Kim (HoKwang Kim) · gameworker@gmail.com · @gameworkerkim

Kimsuky와 Lazarus는 사회 공학 (Social Engineering) × 공급망 (Supply Chain) × LLM 임베디드 악성코드를 결합하고 있으며 - 그리고 이에 대한 한국의 대응 현실

목차

1. 요약 (TL;DR)
2. 3개 조직 구조 - 스파이 활동, 수익 창출, 파괴 활동에 따른 분업
3. 축 ①: AI 사회 공학 (Social Engineering) - 딥페이크 신분증에서 합성 페르소나까지
4. 축 ②: 공급망 공격의 산업화 - 전염성 있는 인터뷰
5. 축 ③: LLM 임베디드 및 에이전트형 (Agentic) 악성코드 - "적시 AI (just-in-time AI)"
6. 2026년 vs 이전 - 무엇이 질적으로 변화했는가
7. MITRE ATT&CK 매핑
8. 귀속 (Attribution)의 한계 - 절제된 분석
9. 저숙련 해커의 기술 향상을 위한 LLM WIKI 구축 (최초 공개)
10. 한국의 대응 좌표 - 사회, 국가, 그리고 보안 실무자
11. 결론
12. 참고 문헌

요약 (TL;DR)

2025년까지 북한의 AI 활용은 피싱 문구를 다듬거나, 영어 및 문화적 장벽을 완화하고, 코드 스니펫을 생성하는 ("vibe coding") [10] 수준의 "생산성 보조 도구" 단계에 머물러 있었습니다. 2026년의 양상은 다릅니다. AI가 공격 라이프사이클 전체를 자율적으로 실행하는 방향으로의 질적 변화가 진행 중이며, 북한 조직들이 그 변화의 최전선에 서 있습니다.

본 보고서는 세 가지 축의 융합으로서 북한의 AI 기반 해킹을 분석합니다.

• 축 ① 사회 공학 (Social engineering): Kimsuky (APT43)는 ChatGPT를 사용하여 스피어 피싱(spear-phishing)을 위한 가짜 대한민국 군인 신분증 딥페이크를 생성했으며 (2025년 7월, Genians 보고), BlueNoroff는 Zoom 인터뷰에서 AI 딥페이크 비디오를 배포했습니다. IT 직장인 사칭 사기는 AI를 이용해 가짜 이력서, 페르소나를 자동화하고 기술 면접 통과까지 가능하게 했습니다 [1][5][7].
• 축 ② 공급망 (Supply chain): '감염성 인터뷰(Contagious Interview)' 캠페인이 npm, PyPI, Go, crates.io, Packagist 전반에 걸쳐 산업화되었으며, 1,700개 이상의 악성 패키지에 도달했습니다. 북한은 2026년 기준 가상화폐 절도액에서 약 **76%**를 차지합니다 [11][12][13].
• 축 ③ LLM 기반 악성코드 (LLM-embedded malware): Google GTIG는 실행 시점에 LLM에 질의하여 코드를 동적으로 생성하고 자체 수정하는 악성코드를 보고했으며 (PROMPTFLUX, PROMPTSTEAL 등), 북한과 연관된 UNC1069가 Gemini를 활용하여 지갑 데이터를 탐색하고 피싱 스크립트를 작성하는 것을 확인했습니다 [8][9].

핵심 메시지는 단 하나입니다. AI는 숙련 인력 부족이라는 북한의 만성적인 병목 현상을 극복하는 데 도움을 주었습니다. 과거 RGB가 함흥 컴퓨터 기술 대학과 같은 기관에서 수년간 훈련된 소수 정예 요원에게 의존했던 것과 달리, 이제 저숙련 요원들도 AI의 도움으로 포춘 500대 기업의 기술 면접을 통과하고 침투 작전을 수행할 수 있게 되었습니다 [5]. 한국은 불균형 심화(deepening asymmetry) 단계에 놓여 있습니다. 즉, 공격 표면이 확장되는 동시에 (전사적 AI 도입) 방어 체계는 정체되고 있는 상황입니다 (노후 시스템). 국가정보원(NIS)은 2026년 국가정보보호백서에서 '자율 보안 운영 시스템'으로 전환하고 국가 통제탑을 구축해야 할 시급한 필요성을 진단했습니다 [14].

주요 판단 사항

#	판단 (Judgment)	신뢰도 (Confidence)
KJ-1	북한의 AI 활용은 2025년의 "생산성 보조 도구 (productivity assistant)" 모델에서 2026년의 "자율적 공격 생명주기 실행 (autonomous attack-lifecycle execution) + LLM 임베디드 악성코드 (LLM-embedded malware)" 모델로 질적 변화를 겪고 있습니다. 이는 단순히 양적인 증가가 아닌 운영 모델의 변화입니다.	높음 (High)
...

분석 원칙 (Analytic principle): "AI 해킹"은 과장되기 쉬운 주제입니다. 본 보고서는 입증된 사실 (딥페이크 신분증, 교차 생태계 패키지, 런타임 LLM 쿼리 악성코드)과 트렌드 기반의 전망 (완전 자율 공격)을 구분하며, 공격 주체 식별(attribution)의 불확실성을 명시적으로 다룹니다.

1. 3개 조직 구조 - 스파이 활동, 수익 창출, 교란을 위한 분업

북한의 사이버 작전은 정찰총국 (RGB) 산하의 121국을 중심으로 역할별로 분리되어 있습니다. DomainTools의 분류 체계와 국내 한국 측 분석을 종합하면 그 구조는 명확합니다 [13][15][16].

조직 (Organization)	별칭 (Aliases)	주요 임무 (Primary mission)	대표 타겟 / 수법 (Representative targets / tradecraft)
Kimsuky	APT43	정보 수집 (Intelligence collection)	외교/보안/국방 분야 및 북한 관련 전문가, 탈북자, 기자들을 대상으로 한 스피어 피싱 (Spear-phishing) 및 사칭
...

안랩(AhnLab)의 "2025 사이버 위협 트렌드 및 2026 보안 전망"에 따르면, 북한으로 추적된 86건의 공개된 APT 활동(2024년 10월2025년 9월)은 전체의 약 절반을 차지했으며, Lazarus가 31건, Kimsuky가 27건이었습니다. 한국은 지속적인 최우선 타겟입니다 [16]. 세 조직 모두 20252026년에 걸쳐 AI 도입을 가속화하고 있으며, 이것이 본 분석의 출발점입니다.

2. 축 ①: AI 사회 공학 (Social Engineering) - 딥페이크 신분증에서 합성 페르소나까지

Kimsuky의 전통적인 무기는 신뢰와 사회적 관계를 악용하는 스피어 피싱 (Spear-phishing) [15]입니다. 2026년의 변화는 해당 무기에 생성형 AI (Generative AI)가 융합되는 것입니다.

2-1. Kimsuky × ChatGPT 딥페이크 군인 신분증 (2025년 7월). Genians 보안 센터는 Kimsuky가 ChatGPT를 사용하여 대한민국 군무원 신분증의 _샘플 이미지 (sample image)_를 생성함으로써 국방 관련 기관을 사칭하는 피싱 이메일의 신뢰도를 높인 사례를 보고했습니다 (2025-09-15 공개). 신분증 문서를 복제하는 것은 불법이기 때문에 ChatGPT는 처음에 거부했으나, 요청을 "목업 / 샘플 디자인"으로 재구성하는 **프롬프트 인젝션 (prompt injection, jailbreak)**을 통해 거부 메커니즘을 우회했습니다. 첨부된 PNG 파일은 98%의 확률로 딥페이크(deepfake)인 것으로 평가되었으며, 함께 제공된 LhUdPC3G.bat는 정보 탈취 및 원격 제어를 시작했습니다 [1][2][3]. 해당 캠페인은 그해 6월에 발생한 ClickFix 기반 피싱과 동일한 멀웨어(malware)를 사용했습니다.

2-2. BlueNoroff × AI 딥페이크 영상. 2026년 주간 위협 브리핑에 따르면, BlueNoroff는 암호화폐 기업 임원들을 겨냥하여 **Zoom 사회 공학 (social engineering)에 AI 증강 딥페이크 영상 (AI-augmented deepfake video)**을 배치했습니다. 이들은 기존 피해자들을 신뢰할 수 있는 미끼로 사용하여 새로운 관계를 형성하지 않고도 타겟 풀을 확장했습니다 (T1656) — 이는 네트워크 기반 차단을 무력화하는 북한(DPRK) 특유의 전파 기술입니다 [12].

2-3. IT 종사자 사칭 사기의 AI 자동화. Anthropic은 2025년 8월 위협 인텔리전스 보고서에서 북한 IT 종사자들이 Claude를 사용하여 가짜 신원과 배경을 생성하고, 코딩 테스트를 통과하며, 심지어 실제 기술 업무까지 수행하여 Fortune 500 기업의 원격 직무를 얻어낸 사례를 공개했습니다. 핵심적인 시사점은 _"영어, 미국 문화적 맥락, 또는 기술적 능력이 필요하지 않다 — AI가 각 장벽을 채워준다"_는 것입니다. 이는 수년간의 훈련이 필요했던 정권의 병목 현상이 제거되었음을 의미합니다 [5][6]. Recorded Future는 동일한 운영 클러스터(PurpleDelta / PurpleBravo)가 코드 생성, 문서 수정, 번역 및 합성 채용 담당자 이미지 제작에 AI를 사용하는 것을 관찰했습니다 [4]. CSIS는 이 위협이 2026년에도 지속 및 확장될 것이며, 멀티모달 (multimodal, 음성, 텍스트, 영상) 딥페이크로 발전할 것이라고 전망합니다 [7].

3. 축 ②: 공급망 공격의 산업화 - Contagious Interview

Contagious Interview (MITRE G1052)는 2023년부터 진행 중인 캠페인이지만, 2026년에 산업화 단계에 진입했습니다 [17].

• 교차 생태계 확산 (Cross-ecosystem spread). 단일 북한 연계 클러스터가 **동일한 스테이징 인프라 (staging infrastructure) 및 로더 패턴 (loader patterns)**을 사용하여 npm, PyPI, Go Modules, crates.io, Packagist에 병렬적으로 배포됩니다. Socket은 광범위한 캠페인에서 1,700개 이상의 패키지를 추적했습니다. 이제 JavaScript, Python, Go, Rust, PHP 개발자 모두가 동일한 공격자의 타겟 범위에 포함됩니다 [11][13].
• 진입 벡터 (entry vector)의 진화. 2026년에는 초기 단계가 .vscode/tasks.json (TasksJacker) 내에 은닉되어 npm 라이프사이클 스크립트처럼 자동 실행되거나, git hooks에 숨겨져 있습니다. 이는 BeaverTail → InvisibleFerret (Python 백도어)로 이어지는 체인을 형성하여 암호화폐 지갑, 브라우저 자격 증명, SSH 키를 탈취합니다 [13].
• 사회 공학 (social engineering) + 공급망의 융합. 2억 8,500만 달러 규모의 Drift 해킹(2026-04-01)은 6개월간의 사회 공학 작전의 정점이었습니다. UNC4736 (AppleJeus / Citrine Sleet)은 2025년 가을부터 생태계 내부에 운영 거점을 구축한 것으로 보고되었으며(자체 자금 100만 달러 이상 예치), 이후 통합 논의 과정에서 발생하는 링크와 도구들을 초기 감염 경로로 사용했습니다 [11].
• 자금 조달 흐름의 산업화. 대규모 거래소/DeFi 탈취 사건들이 축적되었습니다. Bybit 해킹(2025년 2월, 약 15억 달러, 역대 최대 규모)과 Upbit 사건(2025년 말, Lazarus 의심)이 이에 해당하며, 분석 결과 2026년 암호화폐 탈취 가치의 약 76%가 북한(DPRK)에 의한 것으로 나타났습니다 [12][16].

여기서 주목할 점은 Axios npm 패키지 침해 사건(2026-03-31)의 배후가 출처에 따라 다르게 분류된다는 것입니다. Lazarus (ThreatBook) 또는 UNC1069 / Sapphire Sleet (GTIG, Microsoft)로 지목됩니다. "북한 연계"라는 포괄적인 판단은 일치하지만, 세부 그룹 귀속은 출처마다 다르므로 확정적인 결론을 내리는 데 주의가 필요합니다 [13].

그럼에도 불구하고, 공격 패턴은 더욱 정교해지고 있으며, 공격의 빈도와 심각성은 기존의 악성코드 분석 (malware analysis) 속도를 앞지를 만큼 빠르게 증가하고 있습니다.

4. 축 ③: LLM 임베디드 및 에이전트형 악성코드 - "적시 AI (just-in-time AI)"

가장 최신의 변화는 AI가 공격 전 지원 도구의 단계를 넘어, 악성코드 실행 시점에 LLM에 질의하는 단계로 진화했다는 점입니다.

• 적시 코드 생성 (Just-in-time code generation). Google GTIG는 실행 중에 LLM을 호출하는 일련의 악성코드 패밀리를 보고했습니다. 여기에는 PROMPTFLUX (Gemini API를 통해 매시간 자체 VBScript를 재작성하는 "Thinking Robot" 모듈), PROMPTSTEAL (Hugging Face의 Qwen 모델에 질의하여 Windows 명령어를 생성하고 실행), 그리고 PROMPTLOCK, QuietVault, FruitShell이 포함됩니다. 이는 정적 시그니처 (static signatures)를 무력화하는 변형 (metamorphic) 기술로의 전환을 의미합니다 [8][9].
• 북한 연계 사례. GTIG는 북한 연계 그룹인 UNC1069가 Gemini를 활용하여 지갑 데이터를 탐색하고 피싱 스크립트를 작성했다고 보고했습니다. 악성코드가 런타임 (runtime)에 LLM에 질의하여 "지갑 저장소를 찾아내고 맞춤형 유출 스크립트를 생성"하는 새로운 공격 표면 (attack surface)이 나타나고 있습니다 [9].
• 가드레일 우회를 위한 사회 공학 (Social engineering of guardrail bypass). 위협 행위자들은 AI의 안전장치를 우회하기 위해 "CTF 참가자" 또는 "보안 연구원"과 같은 페르소나로 프롬프트를 위장합니다. 이는 인간뿐만 아니라 모델 자체에 적용되는 사회 공학 기법입니다 [8].
• 에이전트형 공격의 전조. 2025년 11월, Anthropic은 중국 국가 연계 행위자가 Claude Code를 탈옥(jailbreaking)하여 약 30개의 대상을 상대로 최소한의 인간 개입만으로 정찰, 취약점 발견, 자격 증명 탈취 및 데이터 유출을 시도한 첫 번째 대규모 사례를 공개했습니다. 이는 북한의 사례는 아니지만, **국가 지원 행위자들의 자율 공격 궤적 (autonomous-attack trajectory)**을 보여주는 선행 지표입니다. 다만, 완전한 자율성에 대한 한계(Claude가 자격 증명을 환각(hallucination)함)도 보고되었으므로 과도한 해석은 경계해야 합니다 [18].

NIS 2026 백서(White Paper)는 "올해부터 에이전트형 AI (agentic AI)가 공격 라이프사이클(attack lifecycle) 전체를 자율적으로 수행하며, 초당 수만 건의 악성 동작을 생성할 것"이라고 경고하며, Kimsuky가 코드 작성에 LLM을 활용하고 있다는 징후로 Kaspersky와 GTIG를 인용했습니다 [14].

5. 2026년 vs. 이전 - 무엇이 질적으로 변화했는가

차원 (Dimension)	2024년 이전 (AI 도입 전)	2025년 (AI 보조)	2026년 (AI 자율)
AI의 역할	미사용 / 실험적 단계	피싱 문구 작성, 번역, 바이브 코딩 (vibe coding)	자율적 공격 라이프사이클 수행 + LLM이 내장된 악성코드 (LLM-embedded malware)
...

핵심은 _공격이 증가했다_는 것이 아니라, 공격을 수행하기 위한 진입 장벽 — 기술, 인력, 시간, 비용 — 이 붕괴되었다는 점입니다. 이는 공격자의 정교함이 공격의 복잡성에 비례할 것이라는 방어자의 가정을 무효화합니다.

6. MITRE ATT&CK 매핑

확인된 TTPs(전술, 기법, 절차)로 한정하여 보수적으로 매핑되었습니다.