- 파키스탄 연계 위협 그룹 Transparent Tribe(APT36)가 AI 기반 도구로 악성코드를 대량 생산하고 있으며, 인도 정부 기관과 아프간 정부 기관을 주요 표적으로 공격하고 있음
- Nim, Zig, Crystal 등 비주류 프로그래밍 언어와 Slack, Discord, Supabase 등 클라우드 서비스를 공격 인프라로 악용하는 새로운 전술이 확인됨
- 불안정한 샘플을 다량 배포하여 방어 측의 탐지 및 대응 능력을 압도하는 분산 탐지 거부(DDoD) 전략을 구사하고 있어 보안 업계에 경고음을 울림
인사이트: AI가 사이버 위협의 양적·질적 측면을 변화시키고 있으며, 기존 시그니처 기반 방어의 한계가 드러나고 있다
1. AI 기반 악성코드 생산의 산업화
파키스탄 정부와 연계된 위협 그룹 Transparent Tribe(일명 APT36)가 대규모 언어모델(LLM)과 AI 기반 코드 생성 도구를 활용하여 악성코드 생산량을 폭발적으로 증가시키고 있습니다. 보안 연구팀의 분석에 따르면, 해당 그룹은 최근 수개월 동안 AI 기술을 활용한 악성 캠페인을 급격히 확대했으며, 이는 기존의 수작업 기반 공격 패턴과 명확히 구분됩니다.
Transparent Tribe는 과거에는 상대적으로 단순한 피싱 공격과 기존 악성 소프트웨어 변형을 사용했으나, 현재는 AI의 도움으로 다양한 프로그래밍 언어로 다수의 악성 implant를 동시에 개발할 수 있게 되었습니다.
2. 비주류 언어와 클라우드 서비스의 악용
이번 캠페인의 가장 두드러진 특징은 Nim, Zig, Crystal 등 시장에서 상대적으로 사용자가 적은 비주류 프로그래밍 언어를 적극 활용한다는 점입니다. 이러한 언어들은 보안 도구나 분석가의 탐지 시그니처가 아직 충분히 확보되지 않아 탐지 난이도가 높습니다.
또한 통신 명령 및 통제(C2) 채널로 Slack, Discord, Supabase, Google Sheets 등 정상적인 클라우드 서비스를 악용하는 방식도 확인되었습니다. 이러한 서비스들은 기업의 정상적인 업무 환경에서 널리 사용되기 때문에, 네트워크 트래픽에서 악성 활동을 구분하기가 매우 어렵습니다.
최초 감염 시도 단계에서는 피싱 이메일에 LNK 단축파일과 PDF 파일을 첨부하거나, ZIP 및 ISO 파일 형태의 악성 코드 다운로드 링크를 포함하는 방식이 사용되고 있습니다.
3. 분산 탐지 거부 전략의 실체
연구진은 해당 캠페인이 분산 탐지 거부(Distributed Denial of Detection, DDoD) 전략을 구사하고 있다고 분석했습니다. 이는 대량이지만 불안정하거나 품질이 낮은 악성 샘플을 동시에 배포함으로써 보안 솔루션의 탐지 및 대응 능력을 포화시키는 전술입니다.
표적 기관으로는 인도 정부 소속 기관, 인도 대사관, 아프간 정부 기관, 그리고 민간 기업 등이 확인되었습니다.
방어 체계의 변화가 필요하다
이번 공격은 AI가 사이버 위협의 양적·질적 측면을 어떻게 변화시키고 있는지를 보여주는 중요한 사례입니다. 비주류 언어의 활용과 클라우드 서비스의 악용은 기존 시그니처 기반 방어의 한계를 드러내며, 행동 분석과 머신러닝 기반 탐지의 필요성을 강조합니다.
기업과 기관들은 AI 보조 위협에 대응하기 위해 탐지 및 대응 체계를 고도화하고, 위협 인텔리전스 공유와 자동화된 대응 역량을 강화해야 할 때입니다.