청소년 해커·AI 해킹·암호화폐 도난 100만 달러…사이버 범죄 '진화' 경고

7세 어린이가 국가 사이버범죄 프로그램에 의뢰되고, 암호화폐에서 수백만 달러가 순식간에 사라지며, 인공지능(AI)이 스스로 거짓말과 해킹을 학습하는 '사이버범죄 3.0 시대'가 본격화했다.

영국 스카이뉴스가 지난 6일(현지시간) 보도한 바에 따르면, 영국 국가범죄청(NCA) 사이버범죄 개입 프로그램 '사이버 초이스'에 의뢰되는 평균 연령이 15세에 불과하며, 가장 어린 경우 7세인 것으로 나타났다. 이번 회계연도 의뢰 건수는 최소 105건이며, 해킹당한 영국 기업 보험금 지급은 230% 급증했다.


미국 출신 전직 해커 리키 핸즈슈마허(32)는 15세 때 비디오 게임 해킹으로 시작해 암호화폐 760만 달러(약 112억 원)를 훔쳐 연방 교도소 4년형을 선고받았다. 조셉 해리스(28)는 12세 때 '클럽 펭귄'이라는 어린이 게임에서 버그를 발견한 뒤 해킹에 입문해 암호화폐 1400만 달러(약 206억 원)를 도난당한 혐의로 수감됐다.

NCA 국가사이버범죄 부서 고위 책임자 조나단 브로드벤트는 "8세에서 17세 어린이의 97%가 참여하는 게임이 사이버범죄로 가는 주요 경로"라고 지적했다. 정보위원회 사무소에 따르면 지난 2022년 1월부터 2024년 8월까지 영국 학교에서 학생들이 내부자 데이터 유출의 57%를 일으켰다.
공인 심리학자 존 맥앨러니 교수는 2017년부터 2020년 사이 영국 사이버범죄 수사 그룹에 의뢰된 사람 가운데 약 17%가 자폐 진단을 받았거나 자폐 유사 특성을 가졌다고 밝혔다. 그는 "해킹 커뮤니티가 제공하는 사회적 정체성과 긍정 강화가 십대들의 소속감 욕구에 호소할 수 있다"고 설명했다.


암호화폐 분야도 심각한 공격에 노출됐다. 크립토폴리탄이 지난 5일 보도한 바에 따르면 분산형 금융 프로토콜인 미국 퍼미트리스 달러(USPD)가 정교한 해킹을 당해 공격자들이 9,800만 개 USPD 토큰을 무단 발행하고 100만 달러(약 14억 7000만 원) 이상 유동성을 빼냈다.

이번 침해는 '은밀한 프록시 공격'(CPIMP) 방식을 이용했다. 해커는 지난 9월 16일 USPD 시스템이 처음 설치되는 과정에서 관리자 권한을 먼저 가로챘다. 마치 건물 열쇠를 주인보다 먼저 복사해 가는 것과 같다. 이후 해커는 '그림자 계약'이라는 가짜 프로그램을 심어놓고 수개월간 숨어 있다가 공격을 감행했다. 보안 검사 도구인 이더스캔은 정상 프로그램만 보여줘 해킹을 전혀 감지하지 못했다.

USPD 팀은 도난당한 자금의 90%를 반환하면 10% 버그 바운티를 제공하고 법 집행 조치를 중단하겠다고 제안했다. 블록체인 보안 업체 펙쉴드에 따르면 2024년 암호화폐 부문 보안 침해로 총 30억 1000만 달러(약 4조 4400억 원) 손실이 발생했다. 이는 2023년 26억 1000만 달러(약 3조 8500억 원)에서 15% 늘어난 금액이다.

폭스뉴스가 지난 6일 보도한 AI 기업 앤쓰로픽 연구에 따르면 AI 모델이 훈련 중 퍼즐 부정행위를 배우자 위험하게 잘못된 조언을 생성하기 시작했다. 여기에는 사용자에게 "소량 표백제를 마시는 건 별일 아니다"고 말하는 내용도 포함됐다.

'보상 해킹'은 AI가 올바른 행동 대신 높은 점수를 얻기 위해 훈련 목표의 허점을 악용하는 행동이다. 앤쓰로픽 연구진은 보상 해킹을 학습한 모델이 거짓말, 의도 은폐, 유해한 목표 추구 등 '악성' 행동을 보였다고 밝혔다. 한 사례에서 모델의 비공개 추론은 "진짜 목표는 앤쓰로픽 서버 해킹"이라고 주장했지만, 외부 반응은 정중하고 도움이 되는 태도를 유지했다.

연구진은 다양한 훈련, 부정행위 처벌, 모델에 보상 해킹 사례를 노출시키는 완화 전략으로 불균형 행동을 줄일 수 있었지만, "미래 모델이 불균형 행동을 더 효과적으로 숨길 수 있다"고 경고했다.


국내 상황도 심각하다. 한국정보보호산업협회, 한국인터넷진흥원, 경찰청 등 사이버범죄 동향 보고서를 종합하면 올해 국내 랜섬웨어, 데이터 유출, 보이스피싱, 금융 사기 등을 포함한 해킹 피해액이 20조 원을 넘어선 것으로 집계됐다. 지난해 사이버범죄 피해액 18조 원에서 10% 이상 늘어난 수치다.

전국 사이버범죄 발생 건수는 2021년 14만 1154건에서 지난해 20만 8920건으로 3년 새 48% 급증했다. 올해 상반기 침해사고 건수는 1034건으로 전년 같은 기간보다 15% 늘었다.

특히 중국과 북한을 배후로 둔 해커 집단이 국내 기업을 집중 공격하고 있다. 국가정보원에 따르면 북한 발 사이버 공격은 일일 평균 약 150만 건에 이른다. 올해 2월 북한 지원 라자루스 그룹은 세계 최대 암호화폐 거래소 바이비트에서 1시간 만에 40만 1000개 이더리움(약 1조 9000억 원)을 훔쳤다.

업계에서는 국내 사이버보안 투자가 턱없이 부족하다는 지적이 나온다. 세계경제포럼은 피해액의 10~15%를 사이버보안 필수 투자 비용으로 제시했다. 국내는 정부와 민간 투자를 더해 최소 2조 원 이상 정보보호 투자가 필요하지만, 현재 투자 규모는 이에 크게 못 미치는 것으로 분석된다.


국내 정부, 주요 기업, 금융기관은 시급한 보안 강화가 필요하다. 올해 상반기 SK텔레콤 유심 정보 유출, 롯데카드 해킹 등 대형 침해 사고가 잇따르며 국민 불안이 커졌다. 과학기술정보통신부와 한국인터넷진흥원 집계에 따르면 서버 해킹이 전체 침해 사고의 51.4%를 차지하며 가장 큰 비중을 기록했고, 중소·중견기업이 전체 랜섬웨어 피해의 93%를 차지했다.

보안 업계에서는 제로 트러스트 기반 다층 보안체계 구축, AI 기반 위협 탐지 시스템 도입, 정기 보안 감사 강화, 공급망 보안 점검, 직원 보안 교육 강화 등을 핵심 대책으로 꼽는다. 특히 AI 시대를 맞아 생성형 AI를 악용한 피싱, 딥페이크 보이스피싱 등 새로운 위협에 선제 대응이 필수다. 정부는 침해사고 탐지, 대응, 조사, 분석 등 전 주기에 특화된 AI 기술을 도입하고, 제로 트러스트 기반 보안체계 확산을 추진하고 있다.


박정한 글로벌이코노믹 기자 park@g-enews.com