Anthropic 보안팀이 이상한 낌새를 눈치챘음. 24,000개 계정에서 1,600만 건이 넘는 쿼리가 Claude로 쏟아져 들어오고 있었는데, 사용 목적이 아니라 복제 목적이었음(The Hacker News). AI 무기화의 실체가 드러난 순간이었음.
해당 계정들은 Claude에게 질문을 하는 게 아니었음. 추론 패턴, 점수 산정 방식, 도구 사용 역량을 체계적으로 추출하고 있었음. 쉽게 말해, 유료 교과서의 모든 페이지를 복사하되 — 읽으려는 게 아니라, 안전 경고를 뺀 해적판을 찍어내려는 것과 같음.
이 글은 2026 사이버 위협 지도 시리즈의 3편(최종)임. 1편: 공급망 공격. 2편: MCP 보안 위기.
이 시리즈 1편에서는 공급망이 주요 침투 경로가 되는 현실을 다뤘고, 2편에서는 AI 에이전트가 새로운 공격 표면으로 부상하는 과정을 살펴봤음. 이제 3편에서 만날 것은, 그 두 문을 모두 통과해 들어오는 행위자들임 — 국가급 예산을 등에 업고 말임.
AI 무기화의 새로운 군비 경쟁: AI라는 전력 증폭기
국가 차원의 사이버 작전에는 원래 대규모 전문 인력이 필요했음. 멀웨어 개발, 피싱 캠페인 설계, 첩보 작전 운용 — 각각 수년간의 전문성이 요구되는 영역이었음.
AI가 그 방정식을 바꿔 놓았음. 모델 증류(distillation) — 본질적으로 최첨단 AI의 역량을 더 작고 검열이 없는 버전으로 복사하는 기법 — 를 활용하면 수년치 R&D를 건너뛸 수 있음. AI 생성 deepfake는 소셜 엔지니어링을 대량으로 확장 가능하게 만들고, AI 보조 코딩은 멀웨어 개발 속도를 전방위로 끌어올립니임.
2026년에 목격되는 것은 국가들이 AI 도구를 ‘사용’하는 수준이 아님. 2년 전이라면 불가능했을 규모로 AI 무기화 절도와 산업화를 추진하고 있다는 점임.
국가급 AI 무기화 핵심 수치
16M+
Claude 탈취 쿼리
24,000
사기 계정
$4M
제로데이 8건 매각
중국: AI 무기화의 1,600만 쿼리 대탈취
Anthropic의 공개 내용은 그 규모 면에서 충격적이었음. 중국 AI 기업 3곳 — DeepSeek, Moonshot AI, MiniMax — 이 역사상 최대 규모의 모델 증류 공격을 조직적으로 수행한 것임(The Hacker News).
수치를 분해하면 이렇음. DeepSeek는 추론, 점수 산정, 검열 우회에 집중해 15만 건 이상의 쿼리를 전송했음. Moonshot은 에이전트 추론, 도구 사용, 코딩, 컴퓨터 비전을 타겟으로 340만 건 이상을 발사했음. MiniMax는 에이전트 코딩과 도구 사용에 1,300만 건 이상으로 선두를 달렸음(The Hacker News).
이를 뒷받침한 인프라는 산업급이었음. “하이드라 클러스터” 프록시 네트워크가 2만 개 이상의 동시 사기 계정을 관리했는데, 탐지를 피하기 위해 끊임없이 신원을 교체하는 초대형 봇 농장이라고 생각하면 되는 것임.
AI 무기화를 위한 증류가 왜 위험하는지 살펴보면? 최첨단 모델에서 안전 가드레일을 벗겨내면, 멀웨어 코드 생성, 정교한 피싱 캠페인 설계, 군사 첩보 분석이 가능한 무언가가 탄생하는 것임 — “그건 도와드리기 어렵음”라는 응답 없이 말임.
Google도 문제가 Claude에 국한되지 않음을 확인했음. Gemini에 대한 10만 건 이상의 추출 시도를 차단했다고 밝혔음(Google GTIG). 이것은 단발성 사건이 아님. 서방 AI 역량을 조직적으로 흡수하려는 다면적 작전임.
| 기업 | 쿼리 규모 | 집중 영역 |
|---|---|---|
| DeepSeek | 150,000건 이상 | 추론, 점수 산정, 검열 우회 |
| Moonshot AI | 3,400,000건 이상 | 에이전트 추론, 도구 사용, 코딩, CV |
| MiniMax | 13,000,000건 이상 | 에이전트 코딩, 도구 사용 |
| 합계 | 16,000,000건 이상 | 24,000개 사기 계정 활용 |
보안 관점의 시사점은 지적재산권 절도를 넘어섭니임. 안전 장치 없이 증류된 모델은 자율 사이버 무기, 감시 시스템, 대규모 영향력 공작에 동력을 제공할 수 있음. 한 연구자의 표현을 빌리면 — 그들은 챗봇을 만드는 게 아님. AI 무기화를 통해 무기고를 구축하고 있는 것임.
북한: AI 무기화 시대의 사이버 범죄 만능 스위스 군용 칼
중국의 접근이 산업적 절도라면, 북한의 접근은 포트폴리오 다각화에 가깝음. 평양은 사이버 작전 조직을 점점 더 전문화된 유닛으로 세분화하고 있으며, 각 유닛에는 고유한 임무와 수익 목표가 부여되는 것임.
가장 경각심을 불러일으키는 변화: 북한 최정예 해킹 그룹 Labyrinth Chollima가 공식적으로 3개 전문 유닛으로 분할되었음(The Hacker News, SEAL).
북한의 3개 전문 사이버 유닛
🕵
Labyrinth Chollima
- 임무: 사이버 첩보
- 도구: FudModule 루트킷
- 타겟: 장기 정보 접근
- 중점: 국가 기밀
💰
Golden Chollima
- 임무: 암호화폐 탈취
- 빈도: 고빈도 소규모 공격
- 타겟: DeFi & 거래소
- 중점: 수익 창출
💥
Pressure Chollima
- 임무: 고가치 해킹
- 작전: TraderTraitor 대형 해킹
- 타겟: 주요 거래소
- 중점: 헤드라인급 작전
Labyrinth Chollima는 사이버 첩보를 담당하며, FudModule 루트킷 같은 도구로 장기 정보 접근을 확보하는 것임. Golden Chollima는 일상적 암호화폐 탈취를 운영하는 것임 — 작은 타겟, 높은 빈도. Pressure Chollima는 TraderTraitor 같은 고가치 작전을 맡아, 헤드라인을 장식하는 대형 해킹을 수행하는 것임.
기업의 조직 재편에 비유할 수 있음. 한 팀이 모든 것을 하는 대신, 전문 사업부를 만든 것임 — 다만 그 “사업”이 국가 후원 범죄라는 점만 다른 것임.
AI Deepfake와 소셜 엔지니어링의 결합
2018년부터 활동해온 UNC1069(CryptoCore/MASAN으로도 알려짐)가 AI deepfake를 도구 세트에 추가했음(Google Mandiant). AI 무기화의 공격 체인은 소름이 끼칠 정도로 세련되는 것임.
1단계: 타겟의 Telegram 연락처에 침투하는 것임. 2단계: Calendly로 미팅을 잡음. 3단계: AI가 생성한 deepfake 영상 — 또는 실제 피해자의 녹화본 재생 — 으로 가짜 Zoom 통화를 진행하는 것임. 4단계: ClickFix 감염을 트리거해 페이로드를 배포하는 것임.
이를 뒷받침하는 멀웨어 무기고는 7개 이상의 패밀리로 구성되는 것임. WAVESHAPER(C++), HYPERCALL(Go), HIDDENCALL(Go), DEEPBREATH(Swift), SILENCELIFT(C++), CHROMEPUSH(C++ 브라우저 확장) 등. DEEPBREATH 하나만으로도 macOS TCC 데이터베이스를 조작해 iCloud Keychain, Chrome, Brave, Edge, Telegram, Notes 데이터를 탈취할 수 있음(Google Mandiant).
이들은 심지어 Gemini AI를 활용해 미끼 자료를 생성하고 코딩을 보조받고 있음. 정교한 소셜 엔지니어링의 진입 장벽이 사실상 무너진 셈임.
Lazarus, 프랜차이즈 사업에 뛰어들다
아마도 가장 실용주의적인 전환일 것임: 북한 최악명 해킹 그룹 Lazarus Group이 Medusa 랜섬웨어 서비스(RaaS)의 어필리에이트가 되었음(Symantec, The Hacker News).
맞춤형 랜섬웨어를 개발하는 대신, Lazarus는 이제 Medusa와 Qilin 같은 기성 RaaS 플랫폼을 활용하는 것임. 타겟에는 미국 의료 기관 — 정신건강 비영리단체, 자폐 교육 시설 — 도 포함되며, 평균 몸값 요구액은 $260,000(약 3.6억 원)임.
사용 도구는 맞춤형과 범용의 혼합임: Mimikatz, Comebacker, BLINDINGCAN, ChromeStealer. 실용적인 판단임 — 검증된 플랫폼이 안정적 수익을 보장하는데, 왜 자체 개발에 투자하겠습니까?
노르웨이 PST(보안경찰)는 북한 IT 인력이 원격 채용 지원을 통해 노르웨이 기업에 침투했음을 확인했음 — 인증 배지와 회사 이메일 주소가 포함된 도용 LinkedIn 프로필을 사용해서 말임(THN, SEAL). 이 문제는 더 이상 실리콘밸리에 국한되지 않음. 침투는 글로벌 규모로 확대되었음.
러시아: AI 무기화 시대의 은밀한 작전과 내부자 위협
APT28의 로우테크·하이임팩트 캠페인
러시아의 APT28(Fancy Bear)은 2025년 9월부터 2026년 1월까지 Operation MacroMaze를 운영하며, 서유럽과 중부 유럽의 기관들을 타겟으로 삼았음(LAB52, The Hacker News).
MacroMaze가 주목받는 이유는 정교함이 아님 — 오히려 정반대임. APT28은 기본적인 구성 요소 — 배치 파일, VBScript, HTML — 을 사용하되, 은밀성을 극대화하도록 외과적 정밀도로 배열했음.
킬체인은 이렇음: 스피어 피싱 이메일 → INCLUDEPICTURE 비콘(타겟이 문서를 열었는지 확인) → VBScript/CMD 배포 → Edge 브라우저 헤드리스 모드 실행 → webhook.site를 C2 서버로 활용한 데이터 유출.
이후 변종은 보안 프롬프트를 자동 우회하는 SendKeys 키보드 시뮬레이션을 추가했음. 단순한 도구, 전문가급 실행 — 클립 하나로 어떤 문이든 열 수 있는 자물쇠 장인에 비유할 수 있음.
$4M(약 55억 원)의 내부자
2026년 러시아 관련 가장 충격적인 사건은 해킹이 아님. 배신임. 세계 최대 방산 기업 중 하나인 L3Harris의 사이버보안 유닛 Trenchant 소속 39세 호주인 간부 Peter Williams가, 러시아 Operation Zero에 zero-day 취약점 8건을 최대 $4M(약 55억 원) 상당의 암호화폐로 매각했음(The Hacker News, DOJ).
3년간(2022-2025) Williams는 체계적으로 독점 취약점을 유출했음. L3Harris는 총 피해액을 $35M(약 483억 원)으로 추산하는 것임. Williams는 7년형을 선고받았음.
Operation Zero — 러시아 익스플로잇 브로커 — 는 Telegram에서 공개적으로 활동하며, 모바일 zero-day 체인에 $20M(약 276억 원)의 바운티를 제시하고 있음. 비NATO 국가에만 독점 판매한다고 공언하는 것임. 미국 국무부와 재무부는 Operation Zero와 그 설립자 Sergey Zelenyuk에 제재를 부과했음.
이 사건은 어떤 방화벽으로도 해결할 수 없는 근본적 문제를 보여주는 것임: 방산 공급망의 내부자 위협임. 동기 부여된 직원 한 명이 $35M의 피해를 초래할 수 있다면, 인적 요소가 여전히 가장 취약한 고리인 셈임.
국가급 AI 무기화: 벡터별 위협 노출도
한국에 대한 AI 무기화 시사점
한국 기업과 전문가에게 이러한 위협은 추상적인 지정학적 이슈가 아님. 현실적인 운영 리스크임.
북한 IT 인력 침투는 한국 고용주에게 직접적 위협임. 북한 공작원이 노르웨이 기업에까지 성공적으로 침투하고 있다면, 원격 포지션을 운영하는 한국 IT 기업의 리스크는 더욱 높음. 한국의 암호화폐 거래량이 글로벌 상위권을 유지하는 만큼, 암호화폐 업계는 Golden Chollima와 UNC1069의 주요 타겟임.
방산 공급망 노출 역시 한국에 밀접하는 것임. 한국의 방산 수출 성장세와 미국 방산 기업과의 긴밀한 협업을 고려하면, L3Harris형 내부자 시나리오는 남의 일이 아님. 공유 시스템에 접근 가능한 한국 방산 기업 직원은 누구든 Operation Zero 또는 유사 브로커의 포섭 대상이 될 수 있음.
AI 모델 보안은 새롭게 떠오르는 AI 무기화 전선임. 독자적 모델을 개발하는 한국 AI 기업도 Anthropic, Google과 동일한 증류 리스크에 노출되는 것임. 견고한 API 남용 탐지 체계가 없으면, 수개월간의 R&D가 수주 만에 빨려나갈 수 있음.
| 위협 | 한국 노출도 | 우선순위 |
|---|---|---|
| 북한 IT 인력 침투 | 높음 — 인접성, 언어, 암호화폐 산업 | 최우선 |
| Lazarus RaaS 공격 | 중간 — 의료/기업 타겟 | 높음 |
| AI 모델 증류 | 증가 중 — 한국 AI 기업 확대에 따라 | 중간 |
| 방산 내부자 위협 | 높음 — 한미 방산 협력 | 높음 |
시리즈 마무리: 2026년 AI 무기화 위협 지형도
3편에 걸쳐 명확한 그림이 완성되었음. 1편에서는 공급망이 주요 침투 경로가 된 현실 — Notepad++ 플러그인, Go 암호화 모듈, 6개월 잠복 기간 — 을 봤음. 2편에서는 AI 에이전트가 완전히 새로운 공격 표면을 여는 과정 — 341개 악성 MCP 스킬, Claude Code RCE 익스플로잇, 기본 신뢰(trust-by-default) 아키텍처 — 을 확인했음.
그리고 3편에서는 그 문을 통과해 들어오는 행위자들을 만났음. 산업 규모로 최첨단 AI를 증류하는 중국, AI deepfake를 활용하는 북한의 전문화된 사이버 범죄 유닛, APT의 은밀함과 내부자 포섭을 결합하는 러시아. 각 국가는 위협 생태계에서 자신만의 틈새를 확보했음.
세 편을 관통하는 공통 맥락: 공격 표면이 방어가 적응할 수 있는 속도보다 빠르게 확장되고 있다는 것임. 공급망, AI 에이전트, 그리고 AI 자체가 무기이자 타겟이 되었음.
이 상황을 성공적으로 헤쳐나갈 조직들에게는 공통점이 있음: 보안을 기술적 문제가 아닌, 국가 후원을 받고 AI로 무장한 채 장기전을 펼치는 적대자에 대한 지속적 위협 모델링 프로세스로 다룬다는 것임.
INSIGHT
2026년 사이버 위협 지도에는 세 개의 주요 좌표가 있음: 침해된 공급망(1편), 악용 가능한 AI 에이전트(2편), 그리고 산업 규모로 AI 무기화를 추진하는 국가 행위자들(3편). 더 이상 별개의 위협이 아님 — 하나로 연결된 시스템임.
ACTION
엔지니어링, 보안, HR, 경영 어느 분야에 계시든 — 여러분 조직의 공격 표면에는 이제 AI 모델, 소프트웨어 공급망, 그리고 채용 파이프라인까지 포함된다는 점을 인식해야 하는 것임. AI API 남용 모니터링, 공급망 무결성 검증(SBOM), 원격 채용 인력의 강화된 신원 확인을 추진할 것. 적대자는 전문화되어 있음. 방어 체계가 사일로에 갇혀서는 안 되는 것임.
참고 자료
- Chinese AI Companies Caught Distilling Claude’s Capabilities at Scale — The Hacker News, 2026-02-24
- North Korea’s Labyrinth Chollima Splits into Three Specialized Units — The Hacker News / SEAL, 2026-02-10
- UNC1069 Deploys AI Deepfakes in Cryptocurrency Theft Campaign — Google Mandiant / The Hacker News, 2026-02-11
- Lazarus Group Joins Medusa Ransomware-as-a-Service — Symantec / The Hacker News, 2026-02-24
- APT28 Operation MacroMaze Targets European Institutions — LAB52 / The Hacker News, 2026-02-23
- L3Harris Employee Sold Zero-Days to Russia’s Operation Zero — The Hacker News, 2026-02-25
- Google Blocks 100K+ AI Model Extraction Attempts on Gemini — Google Threat Intelligence Group, 2026
- Norway PST Confirms DPRK IT Worker Infiltration — PST / The Hacker News, 2026-02-10
자주 묻는 질문 (FAQ)
국가 차원의 AI 무기화란 무엇인가요?
정부 후원 위협 행위자가 사이버 작전에서 AI를 타겟이자 도구로 활용하는 것을 말하는 것입니다. 여기에는 증류를 통한 AI 모델 역량 탈취, 소셜 엔지니어링용 AI 생성 deepfake 활용, 멀웨어 개발 및 영향력 공작 가속화를 위한 AI 레버리징이 포함되는 것입니다.
AI 모델 증류가 보안 위협이 되는 이유는 무엇인가요?
모델 증류는 최첨단 AI의 역량 — 추론, 코딩, 도구 사용 — 을 안전 가드레일 없는 소형 모델로 추출하는 것입니다. 이는 적대자가 윤리적 제약 없이 멀웨어 생성, 피싱 캠페인 설계, 대규모 첩보 분석이 가능한 무검열 AI 도구를 만들 수 있다는 의미입니다.
북한 Labyrinth Chollima가 3개 유닛으로 분할된 이유는 무엇인가요?
Labyrinth(첩보), Golden(암호화폐 탈취), Pressure(고가치 해킹)로의 분할은 작전 전문화를 반영하는 것입니다. 각 유닛이 핵심 임무에 집중해 효율성을 높일 수 있음 — 하나의 제너럴리스트 팀을 운영하는 대신 전문 사업부를 만드는 기업과 유사하는 것입니다.
AI 기반 deepfake 공격에 어떻게 방어할 수 있나요?
핵심 방어책으로는 고위험 미팅에 대한 대역외(out-of-band) 신원 확인, 모든 협업 도구에 다중인증(MFA) 적용, ClickFix형 소셜 엔지니어링 인식 교육, DEEPBREATH 같은 신종 멀웨어 패밀리에 대한 엔드포인트 탐지 업데이트가 있습니다.
방산 분야 내부자 위협이 특히 위험한 이유는 무엇인가요?
L3Harris 사례에서 보듯, 정당한 접근 권한을 가진 내부자 한 명이 수백만 달러 가치의 zero-day 취약점을 유출할 수 있습니다. 위협이 이미 내부에 있기 때문에 기존 경계 보안으로는 대응이 불가하는 것입니다. 조직은 행위 분석, 엄격한 접근 통제, 정기적 보안 인가 재검토를 통해 이 리스크를 완화해야 하는 것입니다.