• 서론 (Introduction)
• 상황 개요 (Situation Overview)
• 행위자 프로파일 (Actor Profile)
• 공격 수법 및 전술 (TTPs - Tactics, Techniques, and Procedures)
• 피해 현황 및 영향 (Impact Assessment)
• 위협 평가 및 분석 (Threat Assessment and Analysis)
• 대응 방안 및 권고 사항 (Countermeasures and Recommendations)
• 결론 (Conclusion)

중국 국적 해커 10명, 미국 및 국제 기관 대상 대규모 해킹 혐의로 기소

요약

2025년 3월 4일, 미국 법무부는 중국 국적 해커 10명이 미국 및 해외 기관을 대상으로 한 광범위한 해킹 작전에 가담한 혐의로 기소되었다고 발표했다. 피의자 10명 중 8명은 중국 정부의 지시에 따라 사이버 공격을 수행한 중국 기업 i-Soon의 직원이며, 나머지 2명은 해당 작전의 기반 시설을 관리하고 물류 지원을 제공한 것으로 밝혀졌다. 해당 기소 내용에 따르면, 피의자들은 2009년부터 2022년까지 항공, 국방, 교육, 정부, 헬스케어, 바이오제약 및 해양 산업을 포함한 다양한 분야에서 사이버 공격을 감행했다. 주요 범죄 행위로는 민감한 데이터 탈취, 지적 재산권 도용 및 기밀 비즈니스 정보 유출이 포함되며, 이는 피해 기관의 보안과 경쟁력을 심각하게 저해했다.

1. 서론 (Introduction)

2025년 3월 4일, 미국 법무부는 중국 정부의 지시에 따라 미국 및 국제 사회를 대상으로 대규모 사이버 해킹 작전을 수행한 중국 국적자 10명을 기소했다고 발표했다. 본 보고서는 해당 조직의 배후, 수법, 피해 규모 및 대응 방안을 분석하고, 한국의 국가 안보 및 사이버 보안 차원에서의 시사점을 제공하는 것을 목적으로 한다.

동기 및 목적

• 중국 공산당 (CCP)의 정치적 통제 강화
• 비판 세력 감시 및 탄압
• 전략적 기술 및 기밀 정보 탈취
• 경제적 우위 확보 (지적 재산권 및 사업 기밀 획득)

2. 상황 개요 (Situation Overview)

i-Soon 개요 및 활동 Anxun Information Technology Co., Ltd. (上海安讯信息技术有限公司, 이하 i-Soon)는 상하이에 본사를 둔 소프트웨어 기업으로, 최소 2016년부터 중국 공안부(MPS) 및 국가안전부(MSS)를 위해 악의적 사이버 작전을 수행해 왔다. i-Soon은 미국 이메일 계정, 휴대전화 및 웹사이트에 침입해 데이터를 탈취하는 활동을 주된 사업으로 하고 있다.

• 아이순(i-Soon):
  • 100명 이상의 조직원이 근무하며 중국 국가안전부(MSS) 및 공안부(MPS)와 긴밀히 협력
  • 해킹 성공 시 한 건당 1만~7만5천 달러 수령
• MSS와 MPS는 주요 지시 기관으로 작전 지휘 및 자금 지원

• 조직명: i-Soon (중국 기반 사이버 해킹 조직)
• 배후 기관: 중국 국가안전부(MSS), 중국 공안부(MPS)
• 활동 시기: 2009년 ~ 2022년
• 활동 지역: 미국 및 전 세계 주요 기관
• 공격 대상: 미국 국방부(DIA), 상무부, 뉴욕 주정부, 아시아 각국 외교부(한국 포함), 언론사, 비판 단체, 인권단체 등
• 피해 분야: 항공, 국방, 교육, 보건, 제약, 해운 등

3. 행위자 프로파일 (Actor Profile)

핵심 인물

• WU HAIBO (CEO, i-Soon 설립자, 핵심 설계자)
• CHEN CHENG (COO, 해킹 작전 지휘자)
• WANG YAN (침투 테스트 팀 리더)
• WANG ZHE (영업 이사, 고객 확보 담당)
• ZHOU WEIWEI (기술 연구 및 개발 책임자)
• WANG LIYU (중국 공안부 청두 지부 요원)
• SHENG JING (중국 공안부 선전 지부 요원)

이들은 조직적이고 체계적으로 미국 및 국제 사회의 주요 기관을 타깃으로 한 해킹 작전을 수행했으며, 성공적인 해킹 시 한 건당 1만~7만5천 달러의 수익을 올렸다.

심리 프로파일 (Behavioral Profile)

• WU HAIBO (우하이보): 기술적 능력이 뛰어나며 조직 내 주요 설계자 역할을 수행. MSS 및 MPS의 신뢰를 받아 조직을 확장하며 막대한 금전적 이익을 얻음.
• CHEN CHENG (첸 청): 팀 운영 및 지휘에 능하며, 중국 공산당의 정치적 이념에 대한 충성도가 높음.
• WANG YAN (왕 옌): 침투 테스트 전문가로, 해외 목표물의 네트워크 취약점 식별과 신속한 침투 기법에 강점을 보임.

4. 공격 수법 및 전술 (TTPs)

피의자들은 VPN, 원격 접속 도구(AnyDesk), VoIP 기술 등을 이용해 미국 내에서 활동하는 것처럼 위장했다. 또한 링크드인을 활용해 취업 사기를 벌이거나 가짜 신원 정보를 생성해 실제 미국 기업에 원격 근무자로 취업한 것으로 밝혀졌다.

• 기술적 수단
  • VPN, AnyDesk 등 원격 접속 도구 활용
  • 스피어 피싱(Spear Phishing)을 통한 초기 접근
  • Automated Penetration Testing Platform: 자동화된 취약점 탐색 플랫폼
  • Divine Mathematician Password Cracking Platform: 비밀번호 해독 도구
  • Public Opinion Guidance and Control Platform (Overseas): 소셜미디어 계정 탈취 및 여론 조작
• 사회공학적 기법
  • 피싱 메일 및 악성 링크를 통한 초기 접근
  • 직원 사칭 및 신뢰 구축 후 민감 정보 유출
  • 기업 이메일 계정을 통한 신뢰 기반 악성 파일 유포
  • IT 관리자 및 보안 담당자를 타겟으로 한 심리전 수행

5. 피해 현황 및 영향 (Impact Assessment)

• 미국 국방부(DIA) 및 상무부: 군사 정보 및 무역 기밀 유출
• 미국 언론사 및 인권 단체: 반(反)중국 활동 인물 및 단체 타깃화
• 한국 외교부 및 기업: 외교 기밀 및 경제 정보 탈취 시도
• 기술 산업: 인공지능, 양자과학, 원자력 등 첨단 산업 기술 정보 유출

6. 위협 평가 및 분석 (Threat Assessment and Analysis)

• 중국 정부의 국가 차원 조직적 공격으로, 단순 민간 해커 활동이 아닌 체계적인 산업 기밀 탈취 및 사이버 전쟁 형태로 전개
• 한국 역시 중국 정부의 표적이 된 만큼 주요 기관 및 민간 산업 분야의 보안 강화 필요
• 한국의 원자력, 인공지능(AI), 첨단 산업 기술 분야에 대한 중국의 지속적인 정보 탈취 시도 예상

7. 대응 방안 및 권고 사항 (Countermeasures and Recommendations)

• 보안 강화: 주요 기관 및 기업의 다중인증(MFA) 도입 및 강화
• 피싱 방지: 이메일 및 협업 플랫폼에서 첨부파일 및 링크 자동 검사 시스템 도입
• 위협 인텔리전스 강화: 중국발 해킹 시도 및 APT 활동에 대한 실시간 모니터링 체계 구축
• 정보 공유 체계: 미국, 일본 등 동맹국과의 협력 강화 및 사이버 보안 협의체 참여
• 긴급 대응 시스템 도입: 유사 사건 발생 시 신속한 탐지, 대응 및 복구 시스템 마련

권고 사항:

• 한국 내 주요 기관과 기업은 해당 해킹 기법에 대한 적극적인 대응책 마련
• 국가적 차원의 사이버 방어 시스템 고도화 및 위협 인텔리전스 체계 강화
• 중국발 APT 조직에 대한 지속적 감시 및 우방국과의 공조 강화

8. 결론 (Conclusion)

본 사건은 중국 정부의 조직적 해킹 작전으로 국가 안보 및 경제 안보에 중대한 위협을 초래하는 사안이다. 민간 기업인 i-Soon을 통해 정보 수집, 여론 조작, 경제적 우위 확보를 동시에 진행한 것으로 분석된다. 이번 사건은 단순한 개인의 사이버 범죄가 아닌 국가 차원의 공세적 작전이라는 점에서 심각성이 매우 크다. 한국의 주요 기관 및 기업이 표적이 될 가능성이 높은 만큼, 지속적인 모니터링과 정보 공유를 통한 적극적 대응이 요구된다.

미국 정부 대응 및 향후 조치 미국 국무부의 '정의에 대한 보상(Rewards for Justice)' 프로그램은 외국 정부의 지시에 따라 미국 주요 인프라에 악의적인 사이버 활동을 수행한 인물의 신원 확인이나 위치 파악에 결정적 제보를 제공하는 경우 최대 1,000만 달러의 포상금을 지급한다고 발표했다.

i-Soon에 대한 정보 또는 관련 인물에 대한 제보는 Tor 기반의 비밀 제보 채널을 통해 'Rewards for Justice'에 제공할 수 있다: he5dybnt7sr6cm32xt77pazmtm65flqy6irivtflruqfc5ep7eiodiad.onion (Tor 브라우저 필요)

| 출처

https://thereadable.co/weekend-briefing-dcm4-dora-i-soon-and-nemesis/?utm_source_platform=mailpoet

https://www.justice.gov/usao-sdny/pr/10-chinese-nationals-charged-large-scale-hacking-us-and-international-victims-behalf

https://www.justice.gov/usao-sdny/media/1391751/dl?inline

요약

• 오픈AI가 북한의 계정을 삭제했는데, 이는 해당 국가들이 챗GPT를 이용해 여론 조작 및 사기 행위를 저질렀기 때문이다.
• 북한은 허위 이력서를 만들어 해외 취업 사기를 시도했다.
• 오픈AI는 자사 기술의 악용을 방지하고 권위주의 정권의 부당한 행위를 막기 위해 AI 기반 조사 기능을 활용하고 있다고 밝혔다.

북한 연계 사이버 위협 – AI 활용 위장취업 전략 분석

출처: OpenAI 내부 보고서 (2025년 2월)
작성일: 2025년 2월 11일

1. 개요

최근 OpenAI는 인공지능(AI) 모델을 악용한 북한 연계 위장취업(Deceptive Employment Scheme) 활동을 탐지하고 차단하는 조치를 시행했다. 해당 활동은 북한 IT 인력이 미국 및 서방 기업에 위장 취업하여 불법적으로 외화를 조달하는 방식과 일치하며, Microsoft 및 Google이 앞서 발표한 북한 IT 위장취업 작전과 유사한 패턴을 보인다.

이 조직은 VPN, 원격 접속 도구(AnyDesk), VoIP 전화망을 활용하여 미국 내에서 활동하는 것처럼 위장하며, LinkedIn 등 구인·구직 플랫폼을 활용해 신분을 속이고 취업 과정을 조작하는 것으로 확인됐다.

2. 주요 위협 요소 및 분석

(1) 공격자 행위

• 다수의 계정을 활용하여 서방 기업 취업을 위한 문서(이력서, 자기소개서 등)를 생성.
• 가상의 지원자 프로필을 작성하여 채용 과정을 조작.
• 허위 추천인을 만들어 기업의 신원 확인 절차를 우회.
• AI 모델을 활용하여 기술 면접에서 신뢰할 수 있는 응답을 생성.
• 채용 이후 회사 시스템에 원격 접속하여 보안 위협을 초래.
• AI를 활용하여 사이버 방어 회피 전략(비디오 회피, 접근 국가 위장 등) 생성.

(2) 공격 기법

구분공격 방식세부 내용

3. 활용된 기술 및 전술(TTPs)

• AI 기반 문서 생성: 맞춤형 이력서, 자기소개서, 추천서 자동 생성
• AI 기반 면접 응답: 기술적·행동적 질문에 신뢰성 높은 응답 자동 생성
• 소셜 엔지니어링: LinkedIn 등 SNS에서 실제 기업 관계자를 속여 추천 유도
• 보안 정책 우회: 원격 접속 시도, VPN 활용, 접속 국가 위장
• 기업 보안 침투: 내부 시스템 접근 후 보안 위협 조성

4. 파급 효과 및 위협 평가

(1) 국가 안보 및 산업 영향

• 서방 IT·방산·금융 기업의 보안 위협 증가
  • 북한 IT 인력의 취업 성공 시, 기업 내부 시스템 침투 및 정보 탈취 가능성 증가
  • 미국 및 우방국 내 주요 기술·보안 인프라 위협
• 북한의 불법 외화 조달 활동 지속
  • 북한 IT 노동자들은 연간 최대 30만 달러를 벌어들이며, 조직적으로 3백만 달러 이상 송금 가능
  • 미 국무부가 북한 IT 노동자 관련 정보 제공 시 최대 500만 달러 포상금 지급

(2) 기존 탐지 시스템 회피 가능성

• AI 기술을 활용한 채용 문서 생성 및 면접 응답으로 기존의 신원 확인 시스템을 효과적으로 우회
• VPN 및 원격 접속 도구 활용으로 IP 기반 보안 모니터링 우회
• 기존 보안 솔루션으로 탐지 어려운 소셜 엔지니어링 기법 활용 증가

5. 대응 방안 및 권고 사항

(1) 보안 기관 및 기업 대상 권고

✅ AI 기반 신원 확인 기술 도입:

• AI 및 머신러닝을 활용한 신규 채용자 신원 검증 프로세스 강화
• 의심 계정 및 활동 패턴 탐지 알고리즘 도입

✅ 기업 내부 보안 교육 강화:

• IT·방산·금융 부문 대상 사이버 보안 교육 및 위협 인텔리전스 공유 확대
• 채용 프로세스에서 가짜 추천인 및 허위 정보 판별 시스템 구축

✅ 사이버 방어 체계 강화:

• VPN 및 원격 접속 도구 사용 모니터링 강화
• 북한 IT 인력의 취업 시도를 사전 차단하기 위한 국제 공조 강화

6. 결론

이번 OpenAI 보고서를 통해 북한 연계 사이버 위협 그룹이 AI를 활용하여 위장 취업을 시도하고 있음이 확인됨.

• AI 기반 이력서·추천서 위조, 면접 조작, 업무 수행 위장, 기업 내부 침투 전략이 조직적으로 운영됨.
• 북한 IT 노동자들의 활동이 서방 IT, 방산, 금융 분야로 확대되고 있으며, 연간 수백만 달러의 외화 조달이 이루어지고 있음.
• 미 국무부 및 법무부는 북한 IT 노동자 고용 차단을 위한 국제 공조 및 포상금 지급 제도 시행 중.

따라서 한국 정부 및 방산·IT 기업들은 채용 보안 프로세스를 강화하고, AI 기반 위장취업 탐지 기술을 도입하는 것이 필수적이다.

원문

February 2025

Disrupting malicious uses of our models: an update

February 2025

Deceptive Employment Scheme

Our mission is to ensure that artificial general intelligence benefits all of humanity. We advance this mission by deploying our innovations to build AI tools that help people solve really hard problems.

As we laid out in our Economic Blueprint in January, we believe that making sure AI benefits the most people possible means enabling AI through common-sense rules aimed at protecting people from actual harms, and building democratic AI. This includes preventing use of AI tools by authoritarian regimes to amass power and control their citizens, or to threaten or coerce other states; as well as activities such as child exploitation, covert influence operations (IOs), scams, spam, and malicious cyber activity. The AI-powered investigative capabilities that flow from OpenAI’s innovations provide valuable tools to help protect democratic AI against the measures of adversarial authoritarian regimes.

It has now been a year since OpenAI became the first AI research lab to publish reports on our disruptions in an effort to support broader efforts by U.S. and allied governments, industry partners, and other stakeholders, to prevent abuse by adversaries and other malicious actors. This latest report outlines some of the trends and features of our AI-powered work, together with case studies that highlight the types of threats we’ve disrupted.

Threat actors using AI and other technologies to support deceptive hiring attempts

Actor

We banned a number of accounts that were potentially used to facilitate a deceptive employment scheme. The activity we observed is consistent with the tactics, techniques and procedures (TTPs) Microsoft and Google attributed to an IT worker scheme potentially Disrupting malicious uses of our models: an update February 2025 10 connected to North Korea. While we cannot determine the locations or nationalities of the actors, the activity we disrupted shared characteristics publicly reported in relation to North Korean state efforts to funnel income through deceptive hiring schemes, where individuals fraudulently obtain positions at Western companies to support the regime’s financial network.

Behavior

The various accounts used our models to generate content seemingly targeting each step of the recruitment process with different deceptive practices, all designed to be mutually supporting (see “Completions”, below).

The actors used virtual private networks (VPNs), remote access tools such as AnyDesk, and voice over IP (VOIP) phones largely appearing to be located in the United States. While our visibility into the ways these actors distributed their content is limited, we identified content posted to LinkedIn.

Completions

One main set of content generated by these actors consisted of personal documentation for the fictitious “job applicants”, such as resumés, online job profiles and cover letters. These resumés and profiles were frequently tailored to a specific job listing to increase the chances of appearing as a well qualified candidate. A second set consisted of creating “support”

personas which were used to provide reference checks for the “job applicants” and refer them for employment opportunities.

In parallel, the operators crafted social media posts to recruit real people to support their schemes. These included, for example, individuals willing to receive and host laptops from their home or lend their identities to the scheme to enable the applicants to pass background checks.

Disrupting malicious uses of our models: an update February 2025 11 Finally, the “job applicant” personas appear to have used our models in interviews to generate plausible responses to technical and behavioral questions. However, we did not observe them using our speech-to-speech tools.

After appearing to gain employment they used our models to perform job-related tasks like writing code, troubleshooting and messaging with coworkers. They also used our models to devise cover stories to explain unusual behaviors such as avoiding video calls, accessing corporate systems from unauthorized countries or working irregular hours.

Example of content this actor used our models to generate before then posting to a social networking site, with

the apparent aim of recruiting U.S. citizens into unknowingly supporting their scheme. Disrupting malicious uses of our models: an update February 2025 12Impact Given our visibility into only a small portion of this overall set of activity, assessing its impact would require inputs from multiple stakeholders.

OpenAI's policies strictly prohibit use of output from our tools for fraud or scams. Through our investigation into deceptive employment schemes, we identified and banned dozens of accounts. We have shared insights about the fraudulent networks we disrupted with industry peers and relevant authorities, enhancing our collective ability to detect, prevent, and respond to such threats while advancing our shared safety.

| 출처

https://www.aitimes.com/news/articleView.html?idxno=168210

https://cdn.openai.com/threat-intelligence-reports/disrupting-malicious-uses-of-our-models-february-2025-update.pdf

https://openai.com/global-affairs/disrupting-malicious-uses-of-ai/