[디지털데일리 김보민기자] 랜섬웨어 그룹이 생성형 인공지능(AI)을 적극 활용하고 있다는 조사 결과가 나왔다. 지난해 말을 기점으로 공격 난도를 높이고 있는 그룹 '펑크섹(FunkSec)'이 대표적이다.

로템 핀클스틴(Lotem Finkelsteen) 체크포인트리서치 위협인텔리전스 총괄은 19일(현지시간) 태국 방콕 센타라그랜드 컨벤션센터에서 열린 'CPX 2025 APAC' 무대에 올라 "사이버 범죄자들이 AI를 악용한다는 사실은 먼 미래가 아닌 지금 일어나고 있는 일"이라고 밝혔다.

이날 핀클스틴 총괄이 예시로 든 대표적인 사이버 공격자는 랜섬웨어 그룹 펑크섹이었다. 펑크섹은 지난해 12월 85개 이상의 피해 사례를 낸 조직이다. 랜섬허브를 비롯해 다른 유명 랜섬웨어 그룹을 넘어서는 규모다. 동유럽이나 북미를 거점으로 공격을 가하는 다른 랜섬웨어 그룹과 달리 알제리를 허브로 삼고 있다는 특징도 있다.

체크포인트리서치는 펑크섹 운영자들이 멀웨어 개발에 AI 기술을 활용하고 있는 것으로 분석했다. 핀클스틴은 펑크섹 그룹과 대화를 나눈 사례를 공개하며 "이들에게 '어떻게 해킹을 하냐'고 묻자 '나는 개발자지 코더(coder)가 아니다'라는 답이 돌아왔다"고 말했다. 이어 "사이버 범죄자들이 '일하는 방식'을 구분하고 있다는 점을 알 수 있는 흥미로운 답"이라고 평가했다.

개발자인 만큼 AI를 활용하고 있다는 점도 시인했다고 밝혔다. 이날 핀클스틴 총괄이 공개한 대화 내용에 따르면 펑크섹은 "우리는 사람과 AI의 도움을 받아 (공격) 아이디어를 얻는다"고 답했다.

사이버 공격자들이 생성형 AI를 악용할 수 있다는 우려는 챗GPT가 첫 출시된 2022년부터 지속 제기돼 왔다. 공격 그룹뿐만 아니라 일반인이 쉽게 위협을 수행할 수 있다는 우려도 피어오르고 있다. 지난해 일본에서는 생성형 AI를 활용해 랜섬웨어를 제작한 20대가 체포되기도 했다. 이번 펑크섹 그룹 또한 젊은 조직으로 구성된 것으로 알려졌다. 핀클스틴 총괄은 펑크섹 그룹과 관련해 "영스터(youngster·젊은이 혹은 청소년)"라는 표현을 사용했다.

펑크섹 공격은 올해도 계속될 전망이다. 체크포인트리서치에 따르면 지난해 12월 펑크섹은 데이터유출사이트(DLS)를 출시해 랜섬웨어 활동을 중앙 집중화하는 모습을 보였다. 데이터 도난과 암호화를 결합하는 일종의 '이중 강탈 전술'을 사용했고, 피해자에게 몸값을 지불하도록 요구했다. 아울러 맞춤 개발 분산서비스거부(DDoS·디도스) 도구 등에 특화된 서비스형랜섬웨어(RaaS) 사업 또한 추진한 것으로 파악됐다. 거대언어모델(LLM) 에이전트가 코드 주석 등을 생성했을 가능성도 점쳐진다.

핀클스틴 총괄은 "우리처럼 사이버 범죄자들도 AI를 활용하기 위한 여정에 돌입했다"며 "그들 또한 AI 한계와 잠재력을 함께 시험하고 있는 만큼, 승리를 위한 전략이 필요한 때"라고 강조했다.