챗GPT로 무장한 해커, 가상자산 탈취

한국인터넷진흥원(KISA)이 챗GPT 등 생성형 인공지능(AI)을 악용해 가상자산을 탈취하는 사이버 공격 조직의 실태를 공개했다. 공격자들이 AI를 활용해 피싱 이메일 제작부터 자산 탈취까지 전 과정을 자동화하고 있는 것으로 드러났다.

이슬기 KISA 책임연구원은 26일 S2W가 주최한 기술 컨퍼런스 ‘SIS 2025’에서 ‘AI로 강화되는 국가 배후 공격 조직의 가상자산 탈취’를 주제로 발표하며 실제 공격 사례 분석 결과를 공개했다.

KISA는 지난해 9월 호스팅 서비스로부터 확보한 가상 서버 이미지 39대를 분석한 결과, 두 개의 공격 조직이 해당 서비스를 악용하고 있음을 확인했다고 밝혔다. 이 중 ‘B 조직’은 개인의 가상자산 탈취에 특화된 공격을 수행하고 있었다.

◇ 네이버 카페서 타겟 수집... 챗GPT로 피싱 도구 제작

공격자들의 수법은 정교했다. 먼저 비트코인 관련 네이버 카페 등 가상자산 커뮤니티에서 댓글을 수집해 사용자 아이디를 확보했다. 회원 수 100만 명이 넘는 대형 카페의 공지사항에만 1만 4000개가 넘는 댓글이 달려 있어 충분한 타겟을 확보할 수 있었다.

수집한 아이디에 ‘@naver.com’, ‘@daum.net’ 등을 붙여 이메일 주소를 생성한 뒤, 유효성을 검증해 실제 사용 중인 이메일만 선별했다. 이후 국민건강보험 테마의 스피어 피싱 이메일을 발송했는데, 이 과정에서도 챗GPT를 적극 활용했다.

브라우저 히스토리 분석 결과, 공격자들은 당시 최신 모델이었던 GPT-4를 사용 제한에 걸릴 정도로 집중적으로 활용한 것으로 나타났다. “EOS 니모닉을 입력할 크롬 익스텐션이 무엇인가요?”, “솔라나 도지코인 리플 지갑 잔액 조회 코드” 등 구체적인 질문들을 통해 공격 도구를 개발했다.

피해자가 피싱 사이트에 아이디와 패스워드를 입력하면, 공격자는 해당 계정으로 로그인해 이메일과 클라우드 스토리지를 뒤져 가상자산 거래소 API 키, 지갑 주소, 니모닉 등의 정보를 수집했다. 이슬기 연구원은 “여권 사진, 주민등록증, 통장 사본까지 저장되어 있는 케이스가 많았다”고 설명했다.

◇ 200달러 넘으면 자동 탈취...해외 조직 추정

공격자들은 AI로 개발한 모니터링 프로그램을 통해 피해자 지갑의 잔액을 지속적으로 감시했다. 현재 시세와 보유량을 곱해 지갑 가치를 계산하고, 200달러(약 27만 원) 이상이 되면 자동으로 자신들의 지갑으로 전송하는 시스템을 구축했다. KISA는 200달러라는 기준은 각종 거래소의 트래블룰(자금세탁방지 규정) 등 제약을 피하기 위한 것으로 추정된다고 분석했다.

흥미롭게도 공격자들이 챗GPT에 입력한 질문들을 분석한 결과, “실제한 경로는 뭐나요?”, “서브 등록부” 등 어색한 한국어 표현이 다수 발견됐다. 또한 구글 번역기를 자주 사용하는 흔적도 확인돼 해외 조직으로 추정된다.

이들은 현금화에 어려움을 겪고 있는 것으로 나타났다. 바이낸스 등 거래소에서 “거래의 목적은 무엇인지” 정당한 거래에 대한 입증을 요구받을 때마다 “내 작업에 대한 결과물이고 소액밖에 안 되니까 넘겨달라”는 식으로 대응하고 있었다.

이슬기 책임연구원은 “공격자가 AI로 자동화된 공격을 수행하는 만큼, 방어자도 AI를 활용한 대응이 필수”라고 강조했다. 또 “앞으로는 위협 프로파일링 시 공격자가 어떤 AI 모델을 사용했는지도 평가 요소가 될 것”이라며 “AI 분석가가 진화할수록 인간 분석가도 계속 발전해야 하는 경쟁 구도가 펼쳐질 것”이라고 전망했다.

SIS 2025는 S2W가 2022년부터 개최하는 연례 기술 컨퍼런스로, 기술과 데이터가 사회에 미치는 영향을 논의하는 지식 교류의 장이다.