북한 해커 AI로 3개월 만에 140억 탈취 평범한 해커가 정예 사이버 범죄자가 되는 구조

---

북한 연계 해킹 조직이 생성형 AI를 활용해 2026년 1분기에만 약 1,200만 달러(한화 약 160억 원)의 암호화폐를 탈취했습니다. 보안 기업 Expel이 명명한 이 조직 ‘HexagonalRodent’는 AI로 악성코드를 고도화하고, 위조 기업과 LinkedIn 계정을 생성해 Web3 개발자들을 표적으로 삼았습니다.

이 사건이 기존 북한 해킹 사례와 다른 점이 있습니다. 기술적으로 평범한 수준의 해커들이 AI를 도구로 삼아 정예 수준의 공격을 수행했다는 것입니다. AI가 사이버 위협의 민주화를 만들어내고 있습니다.

오늘의 AI 뉴스 전체 브리핑은 aikorea24.kr 2026년 4월 23일 브리핑에서 확인하실 수 있습니다.

HexagonalRodent 공격의 전체 구조

Expel 연구팀의 조사는 2025년 10월 고객사 네트워크에서 발견된 BeaverTail 악성코드 감염 사건에서 시작됐습니다. 역추적 과정에서 연구팀은 해킹 조직의 내부 인프라에 접근하게 됐고, 조직의 운영 방식 전체를 들여다볼 수 있었습니다.

공격의 흐름은 이렇습니다. 먼저 생성형 AI로 위조 기업 웹사이트와 LinkedIn 계정을 만듭니다. 이 계정들로 Web3(블록체인 기반 차세대 인터넷 서비스) 개발자들에게 고연봉 채용 제안을 보냅니다. 관심을 보인 개발자에게는 코딩 테스트 도구를 다운로드하도록 안내합니다. 이 도구 안에 악성코드가 숨겨져 있습니다.

감염된 시스템에서는 BeaverTail, OtterCookie, InvisibleFerret 등 세 가지 악성코드가 연쇄 작동하며 패스워드 매니저(비밀번호 관리 앱), macOS 키체인(Apple 기기의 비밀번호 저장소), 브라우저에 저장된 자격 증명(로그인 정보)을 탈취합니다. 이를 통해 피해자의 암호화폐 지갑에 직접 접근합니다.

2026년 1분기 동안 이 방식으로 피해를 본 시스템은 2,726대, 탈취된 암호화폐 지갑은 26,584개에 달합니다.

AI가 공격에 어떻게 활용됐는가

이번 사건에서 AI의 역할은 세 가지였습니다.

첫째, 악성코드 고도화입니다. 생성형 AI는 코드의 난독화(분석하기 어렵게 코드를 변형하는 기법)와 탐지 우회 로직 개선에 활용됐습니다. 보안 소프트웨어가 악성코드 패턴을 학습하면, AI로 코드를 변형해 새로운 패턴을 만드는 방식으로 탐지를 지속적으로 회피할 수 있습니다.

둘째, 사회공학 콘텐츠 생성입니다. 설득력 있는 채용 공고 문구, 실제처럼 보이는 기업 웹사이트, 자연스러운 LinkedIn 프로필 작성에 AI가 활용됐습니다. 과거에는 어색한 문법이나 문화적 어색함이 피싱(사기성 메시지로 정보를 탈취하는 방식)을 가려내는 단서였습니다. AI가 작성한 콘텐츠는 이 단서를 제거합니다.

셋째, 규모화입니다. 31명의 해커가 6개 팀으로 나뉘어 동시에 여러 표적을 공략할 수 있었던 것은 AI가 콘텐츠 생성과 초기 접촉의 상당 부분을 자동화했기 때문입니다. 인력 한 명이 다룰 수 있는 잠재적 피해자의 수가 AI 도입 이후 급격히 늘어난 것으로 분석됩니다.

왜 Web3 개발자가 표적인가

HexagonalRodent는 최소 2023년부터 전통 금융(TradFi)에서 Web3 산업으로 표적을 전환했습니다. 이유는 명확합니다.

Web3 개발자들은 개인 지갑에 상당한 규모의 암호화폐를 직접 보관하는 경우가 많습니다. 또한 새로운 프로젝트와 도구를 실험적으로 테스트하는 문화가 있어 출처가 불분명한 소프트웨어를 설치하는 데 상대적으로 개방적입니다. 탈중앙화 환경에서 일하는 특성상 거래 내역 추적과 자산 복구가 전통 금융보다 어렵습니다.

Google Mandiant 연구팀에 따르면 북한 연계 조직 UNC1069는 같은 기간 Telegram, LinkedIn, Slack에서 신원을 위장한 다중 채널 소셜 엔지니어링 캠페인을 운영했으며, 딥페이크 영상(AI로 생성한 위조 영상)을 활용해 피해자가 실제 화상회의에 참여하고 있다고 착각하게 만드는 수법도 사용했습니다.

한국 Web3 개발자와 기업이 지금 해야 할 것

이 공격은 지리적 제한이 없습니다. 한국의 Web3 개발자, 암호화폐 거래소, 블록체인 스타트업이 동일한 표적이 될 수 있습니다. 실질적으로 주의해야 할 지점은 세 가지입니다.

첫째, 채용 제안의 검증 강화입니다. LinkedIn을 통해 접근해오는 채용 제안이 실제 기업인지 확인하는 절차를 강화해야 합니다. 기업 웹사이트의 도메인 등록일, 실제 팀원 검증, 공식 채용 채널과의 교차 확인이 필요합니다.

둘째, 코딩 테스트 도구 설치 거부입니다. 채용 과정에서 출처 불명의 소프트웨어 설치를 요구하는 경우, 이를 즉시 의심해야 합니다. 격리된 가상 환경(VM)에서만 테스트 코드를 실행하는 것이 원칙입니다.

셋째, 하드웨어 지갑 분리입니다. 업무용 시스템과 암호화폐 지갑을 물리적으로 분리하는 것이 가장 확실한 방어선입니다.

결론

AI가 사이버 공격의 진입 장벽을 낮추는 속도는 방어 기술의 발전 속도보다 빠릅니다. 과거에는 정교한 해킹 능력을 갖춘 소수만이 수행할 수 있었던 공격이, 이제 AI를 도구로 사용하는 31명의 팀에 의해 분기당 1,200만 달러 규모로 실행됩니다. 보안 전략이 “AI를 사용한 공격”을 기본 전제로 재설계되어야 할 시점입니다. 기술적 방어와 함께, 채용·협업 과정에서의 인간적 판단력이 그 어느 때보다 중요한 방어 자산이 됩니다.

#북한해커 #AI사이버공격 #Web3보안 #HexagonalRodent #암호화폐해킹 #AI보안 #사이버위협