[해킹] 세계 최초 LLM 악성코드 등장

1. 헤드라인 및 요약

1.1. 제목 

"AI가 해커의 뇌가 되다"…실시간 명령 생성 악성코드 'LameHug'의 등장

 

1.2. 핵심 요약 

사건/기술: 러시아 연계 해킹 조직(APT28)이 LLM(대규모 언어 모델)을 이용해 실시간으로 명령어를 생성하는 신종 악성코드 'LameHug'를 개발 및 유포

피해/영향: 우크라이나 고위 공무원 대상 정보 탈취 시도 확인. 기존 시그니처 기반 보안 솔루션을 무력화하여 국내 공공 및 금융 기관에도 심각한 잠재적 위협으로 대두

핵심 원인/기술: 악성코드 내부에 탑재된 오픈소스 LLM(Qwen-2.5)이 매번 다른 시스템 명령어를 동적으로 생성, 정적 분석 기반의 전통적인 보안 탐지 체계를 우회하는 원리

2. 주요 내용 

2025년 7월 10일, 우크라이나 사이버보안센터(CERT-UA)는 정부 고위 공무원들을 대상으로 한 정교한 사이버 공격을 탐지했다고 발표했습니다. 이 공격의 중심에는 'LameHug' 라 불리는 신종 악성코드가 있었으며, 러시아 정부와 연계된 해킹 조직 APT28이 그 배후로 지목되었습니다.

공격은 정부 기관을 사칭한 피싱 이메일을 통해 전파되었습니다. 이메일에 첨부된 ZIP 파일의 압축을 해제하고 내부의 파이썬 실행 파일(.py)을 실행하면, 내장된 LLM 기반의 악성 코드가 활성화되는 방식입니다. LameHug는 단순히 정해진 명령을 수행하는 기존 악성코드와 달리, AI를 이용해 실시간으로 공격 명령을 생성하고 실행하여 방어 시스템을 무력화하는, 한 차원 진화한 위협의 등장을 알렸습니다.

3. 핵심 이슈 및 기술 분석

3.1. 사건의 전개 / 기술의 원리 

LameHug의 공격 방식은 AI를 핵심 두뇌로 활용하여 자율적으로 임무를 수행하도록 설계되었습니다

1. 초기 침투: 공격자는 정부 기관을 위장한 피싱 이메일을 발송, 피해자가 첨부된 ZIP 파일 속 파이썬 파일을 실행하도록 유도합니다.
2. 악성코드 활성화: 파일이 실행되면, 악성코드는 내부에 통합된 LLM(중국 알리바바의 오픈소스 'Qwen-2.5-Coder-32B-Instruct')을 깨웁니다.
3. AI 기반 정보 수집: LLM은 현재 시스템 환경을 파악한 후, 이에 맞는 최적의 정보 수집 명령어를 실시간으로 생성합니다. 예를 들어 설치된 소프트웨어, 하드웨어 사양, 실행 중인 프로세스 목록 등을 수집하는 명령을 만들어냅니다
4. 주요 파일 탈취: 바탕화면, 내 문서, 다운로드 폴더 등을 스캔하여 중요 문서 파일(doc, pdf, xlsx 등)을 찾아내 복사하는 명령을 생성 및 실행합니다
5. 외부 유출: 탈취한 모든 정보를 SFTP 또는 HTTP POST 방식을 통해 공격자가 통제하는 외부 서버로 전송합니다. 이 과정 또한 LLM이 생성한 명령어로 자동 수행됩니다.

3.2. 사용된 공격 기법 / 핵심 기술

LameHug의 가장 큰 특징이자 위협적인 부분은 기존의 보안 체계를 근본적으로 흔드는 두 가지 핵심 기술에 있습니다.

AI 통합 명령어 실행: 이 악성코드는 정해진 공격 코드 목록을 가지고 있지 않습니다. 대신, 상황 판단과 명령어 생성을 LLM에게 위임합니다. 이는 마치 숙련된 해커가 시스템에 직접 침투하여 상황에 맞게 명령을 내리는 것과 같은 효과를 냅니다.

보안 탐지 우회: 대부분의 백신이나 보안 솔루션은 알려진 악성코드의 특징(시그니처)을 찾아내는 '정적 분석'에 의존합니다. 하지만 LameHug는 LLM을 통해 매번 다른 형태의 명령어를 생성하므로, 특정할 수 있는 고정된 시그니처가 존재하지 않습니다. 따라서 기존 보안 솔루션의 탐지망을 손쉽게 회피할 수 있습니다.

4. 개인적 분석

'LameHug'의 등장은 단순한 신종 악성코드의 발견을 넘어, 사이버 보안의 패러다임이 전환되는 변곡점을 시사합니다. 이는 국가 기반 APT 조직이 LLM을 공격 도구로 적극적으로 '무기화'하기 시작했음을 의미하는 첫 공식 사례입니다.

정적 분석에 의존하던 기존 보안 솔루션들은 실시간으로 모습을 바꾸는 AI 생성 명령어 앞에서 무력화될 수밖에 없습니다. 이는 향후 방어 측 역시 AI를 활용해야만 공격을 막을 수 있는 'AI 대 AI'의 보안 전쟁 시대를 예고합니다. 특히, 악성 LLM은 고정된 패턴이 없어 탐지 규칙 설정이 극히 어렵고, 수많은 변종을 자동으로 생성할 수 있어 위협의 확산 속도와 규모는 이전과 비교할 수 없을 정도로 커질 것으로 예상됩니다. 국내 역시 정적 분석 위주의 보안 체계를 가진 기관과 기업이 많아 결코 안전지대라고 할 수 없습니다.

5. 향후 전망 및 대응 방안

기업/기관

• 행위 기반 탐지 시스템 도입: 시그니처가 아닌, 시스템 내부의 '의심스러운 행위' 자체를 탐지하는 EDR(엔드포인트 탐지 및 대응) 솔루션 도입이 시급합니다.
• AI 기반 보안 관제: AI를 활용해 내부 네트워크 트래픽과 시스템 로그의 이상 징후를 분석하고, 정상적인 패턴에서 벗어나는 활동을 자동으로 차단하는 체계를 구축해야 합니다.
• 내부망 보안 정책 재점검: 행정망, 내부망 등 폐쇄적인 환경이라도 피싱 메일 등을 통해 충분히 침투가 가능하므로, 제로 트러스트 관점에서 보안 정책을 전면 재검토해야 합니다.

보안 업계

• 공격 AI를 탐지하고 무력화할 수 있는 방어 AI 기술 개발에 R&D 역량을 집중해야 합니다.

개인

• 출처가 불분명한 이메일의 첨부파일은 절대 열지 않는 기본적인 보안 수칙을 더욱 철저히 지켜야 합니다.

결론적으로, LameHug는 AI가 만들어낼 미래의 사이버 위협이 어떤 모습일지를 보여주는 예고편입니다. 더 이상 과거의 방식으로는 미래의 공격을 막을 수 없으며, 방어 체계의 전면적인 혁신이 필요한 시점입니다.

참고 

• 데일리시큐: 생성형 AI가 실시간으로 악성 행위 명령어를?...우크라이나 공무원 대상 공격 발견