소프트웨어 ‘취약점’이 아닌 ‘기능’을 무기화하다

사이버 공격은 얼마나 빠르게 취약점을 찾는가?의 경쟁으로 이해되어 왔다. 더 은밀한 0-Day를 먼저 확보하고, 더 빠르게 익스플로잇 체인을 완성하는 쪽이 우위를 점하는 방식이다. 그러나 우크라이나 전장과 유럽 전역에서 관찰되는 러시아·벨라루스 연계 작전은 이제 다른 방향을 보여준다. 오늘의 공격자는 소프트웨어의 버그를 찾는 데서 멈추지 않는다. 오히려 사용자의 편의를 위해 설계된 정상 기능을 어떻게 작전 도구로 전환할 수 있는지 연구한다. 취약점의 무기화가 아니라, 기능의 무기화가 그것이다.

러시아는 Signal과 WhatsApp의 ‘기기 연결(Linked Devices)’ 기능을 악용하는 공격을 수행했다. 이 시나리오에서 공격자는 피해자 단말 전체를 해킹하지 않는다. QR 코드 스캔을 유도해 공격자 기기를 피해자 계정에 연결한다. 연결이 성공하면 이후 메시지는 공격자 측과 실시간 동기화된다. 악성코드 없이 대화는 유출되고, 피해자는 침해 사실을 오랫동안 인지하지 못한다. 일부 사례에서는 Signal 그룹 초대 페이지를 복제한 뒤 자바스크립트를 조작해, 사용자가 ‘그룹 가입’이라고 믿는 순간 실제로는 sgnl://linkdevice 형태의 기기 연결 프로세스가 실행되도록 설계된 것을 알 수 있다. 이것은 기술적으로도 교묘하지만, 무엇보다 정상 기능을 공격자의 시나리오로 가져와 사용한 것이다.

그리고 피싱은 더 이상 단순한 계정 탈취 만을 목적으로 하는 공격 시나리오가 아니다. 피싱은 사용자의 클릭을 훔치는 행위가 아닌 사용자의 맥락과 심리를 설계하는 산업으로 바뀌고 있다. Star Blizzard가 사용한 ‘깨진 QR 코드’는 이런 상황을 잘 보여준다. 처음에는 고의로 작동하지 않는 코드를 보내 타깃의 회신을 유도하고, 반응이 오면 정상적으로 보이는 링크를 전달한다. 공격의 핵심은 링크 자체보다 먼저 신뢰를 쌓고 마음의 장벽을 허무는데 있다. 결국 피싱은 기술적 우회보다 심리적인 장벽을 허물기 위해 더 많은 자원을 투입하는 단계로 진화했다고 평가할 수 있다.

벨라루스 연계 그룹 FrostyNeighbor의 사례는 이 흐름에 AI가 결합했을 때 무엇이 달라지는지 보여준다. 과거 피싱은 어색한 문장, 부자연스러운 어휘, 서툰 문법이 약점이었다. 그러나 생성형 AI는 그 약점을 지워버렸다. 문법적으로 매끄럽고, 맥락상 자연스러으며, 공문서처럼 단정한 어조의 문장을 대량으로 생산할 수 있다. 특정 글머리 기호와 이모지 조합 같은 AI 생성 콘텐츠의 흔적이 관찰되었지만, 그것이 곧바로 방어 우위로 이어지지는 않는다. 중요한 것은 공격자가 이제 언어 장벽을 거의 비용 없이 넘을 수 있게 됐다는 점이다. 결국 공격자에게 피싱의 진입장벽이 낮아지고, 설득의 품질을 높이는 결과로 이어졌다.

여기에 군사적·정치적 맥락까지 결합되면 공격은 더욱 정밀해진다. 우크라이나군이 사용하는 포병 지원 앱 Kropyva 업데이트 알림, ‘우크라이나 영웅’ 칭호 수여를 위한 전자 청원 투표, 무기 이동 정보나 군사 훈련 프로그램 초대 같은 유인책은 단순한 위장이 아니다. 그것은 타깃의 직업적 필요, 애국심, 정보 갈증, 조직 내 역할을 겨냥한 정밀 설계다. 공격자는 더 이상 무차별적으로 미끼를 던지지 않는다. 그들은 표적이 무엇을 믿고, 무엇을 눌러야 하며, 무엇을 급하게 확인 할지 이해하면서 공격 시나리오를 기획하고 수행하고 있다.

더 주목해야 할 것은 공격자의 작업 방식이다. 러시아 정부와 관련된 위협 그룹들의 특징을 살펴보면 단순한 고도화가 아닌 개발 문화의 변화를 확인할 수 있다. Sandworm이 실패한 실행 파일을 같은 날 수정본으로 다시 투입하고, Vagrant 기반의 가상 환경에서 사전 검증을 수행하며, 나토 물류망을 겨냥해 신규 취약점을 공개 24시간 안에 무기화하는 모습은 익숙한 장면이다. 그것은 해커의 즉흥성이 아니라 소프트웨어 팀의 애자일 운영 방식에 가깝다. 테스트하고, 배포하고, 실패를 확인하고, 즉시 다시 빌드해 밀어 넣는 순환 구조가 공격 현장에 자리잡은 것이다.

APT28의 LAMEHUG 같은 도구는 이러한 변화를 더욱 밀어붙인다. 예전의 침투 후 정찰이 사람이 폴더를 뒤지고 키워드를 검색하는 작업이었다면, 이제는 LLM이 문서의 의미를 파악해 어떤 파일이 첩보 가치가 높은지 우선순위를 정한다. 공격의 자동화는 단순 반복 업무를 줄이는 수준을 넘어, 정보의 ‘의미론적 분류’까지 포함하는 방향으로 진화하고 있다. 브레이크아웃 타임이 분 단위에서 초 단위까지 줄어드는 환경에서, 인간 분석가가 판단을 마치기 전에 공격은 이미 다음 단계로 넘어 가는 것이다.

이 흐름을 개별 기술 사례로만 보면 절반만 본 것이다. 더 큰 그림은 러시아의 ‘다크 커버넌트(Dark Covenant)’가 보여주는 국가-범죄 결합 구조에 있다. 이 구조에서 국가 기관은 범죄 생태계에 통제된 면죄부를 제공하고, 범죄 조직은 필요할 때 정보 수집, 교란, 파괴, 영향력 공작의 프록시로 활동한다. 중요한 것은 이 관계가 단순한 방임이 아닌 일종의 거버넌스라는 점이다. 유용한 행위자는 보호되고, 부담이 되는 행위자는 선택적으로 희생된다. 러시아가 서방의 압박 속에서도 일부 조직만 조율된 방식으로 체포하거나, 고가치 범죄자를 수감자 교환 카드로 활용하는 이유도 여기에 있다.

이 구조는 전략적으로 매우 효율적이다. 공격은 국가 목적과 연결되어 있으면서도, 외형상 민간 범죄자의 소행처럼 보인다. 곧바로 전쟁 행위로 규정하기 어렵고, 국제 대응은 지연된다. 이 모호성 자체가 무기다. 전력망을 끊는 공격이든, 곡물 수출과 물류 체계를 겨냥한 경제적 사보타주든, 혹은 메신저 동기화를 통한 장기 감청이든 모두 같은 생태계의 일부로 기능할 수 있다.

결국 지금 전개되는 차세대 사이버 작전의 핵심은 하나다. 공격자는 외부에서 많은 시간을 들이며 하나하나 수작업을 통해 시스템에 침투하고 정보를 수집하고 확장해나가지 않는다. 그리고 기존에 알려지지 않은 취약점을 이용하여 악의적인 행위만하지 않는다. 그들은 시스템 안으로 들어와, 정상 기능과 사용자의 습관, 조직의 업무 흐름, 클라우드와 아이덴티티, 그리고 AI가 만들어낸 언어적 신뢰를 모두 전장 자산으로 바꾼다. 다시 말해 목표에 도달하기 위해 악의적인 기능을 수행하기도 하지만 정상 기능이나 악의적인 목적으로 사용하기도 한다. 그러므로 방어가 여전히 악성코드 탐지와 취약점 패치 중심에 머무른다면, 전쟁은 이미 한 단계 뒤처진 셈이다.

한국의 보안 환경은 아직도 피싱을 금융사기나 로그인 탈취 중심으로 이해하는 경향이 강하다. 그러나 유럽 전선에서 드러난 현실은 다르다. 계정을 빼앗는 것이 아니라 세션을 동기화하고, 기기를 감염시키는 것이 아니라 기능을 오용하고, 문법 오류를 잡는 것이 아니라 인간의 신뢰를 조립하는 시대가 왔다. 그리고 정상 기능을 이용한 것이나 그 목적이 악의적인 활동인 경우도 많아지고 있다. 이제 필요한 질문은 “새로운 취약점이 무엇인가”가 아니다. 진짜 질문은 “우리가 매일 사용하는 정상 기능 중 무엇이 이미 공격자의 작전 인터페이스가 되었는가? 그리고 무엇이 공격자의 작전 인터페이스로 전환될수 있는가?”이다. 🆃🆃🅔

Related Materials

• Signals of Trouble: Multiple Russia-Aligned Threat Actors Actively Targeting Signal Messenger - Google Cloud Threat Intelligence Blog, 2025년
• APT44: Unearthing Sandworm - Google Cloud Threat Intelligence, 2024년
• M-Trends 2025: Global Cyber Attack Trends - Mandiant, 2025년
• Signal Private Messenger Official Website - Signal Foundation, 2025년
• Mandiant Threat Intelligence Resources - Mandiant, 2025년

취약점이 아니라 산업이다: Coruna Exploit kit이 보여준 모바일 해킹의 경제학

💡Editor Pick - Coruna exploit kit은 단순한 iOS 취약점 공격이 아님 - 23개의 exploit을 자동으로 조합하는 ‘침투 파이프라인’ - 모바일 해킹이 개별 공격이 아니라 산업 구조로 변하고 있음 스마트폰 보안 논의에서 iOS는 오랫동안 가장 강력한 방어 모델을 갖춘 플랫폼으로 평가되어 왔다. 코드 서명 강제, 애플리케이션 샌드박스, 메모리 보호 기술, 그리고

더테크엣지(The Tech Edge)Donghwi Shin

전화번호는 신뢰 가능한 수단인가?

💡Editor Pick - 우리의 본인인증 수단인 전화번호 기반의 인증은 안전한가? - 해외의 경우 그 방향성을 어떻게 수립하고 있는가? 캐나다 정부가 5년 동안 추적한 SIM 보안의 구조적 의미 2026년, 캐나다 사이버 보안 센터(Cyber Centre)가 발표한 “Security considerations for SIMs (ITSAP.10.021)”는 표면적으로 SIM 스와핑 대응을 위한 기술

더테크엣지(The Tech Edge)Donghwi Shin

검사 대상이 아니라면? 공격 자원!

💡Editor’s Pick - 기술적 목적으로 사용되는 공간, .arpa - 보안이 따로 검사하지 않을 정도로 신뢰받는 공간 - 공격자들이 이를 간파해 악성 콘텐츠 심어두기 시작 최상위 도메인 중 하나인 .arpa가 피싱 공격에 활용되는 사례가 늘어나고 있다는 조사 결과가 나왔다. 보안 기업 인포블록스(Infoblox)가 발표한 것으로, “.arpa는 일반 도메인과 다르기 때문에

더테크엣지(The Tech Edge)문가용 기자