---
title: "김수키, AI 악성코드 개발 정황 포착"
author: "VibeTimes"
published: "2026-05-14T00:55:38.674Z"
section: "technology"
tags: ["김수키", "카스퍼스키", "북한", "AI", "악성코드", "개발", "정황", "포착"]
language: "ko"
url: "https://vibetimes.co.kr/news/cmp4rycvm08gp2nlky6s28bt6"
---

# 김수키, AI 악성코드 개발 정황 포착

보안업체 카스퍼스키(글로벌 사이버 보안 기업, 1997~)는 14일 발표한 보고서에서 북한 연계 해킹 조직 '김수키'의 최신 공격 전술을 분석했다. 김수키는 인공지능(AI) 기술을 악성코드 개발에 활용하고 있으며, 비주얼 스튜디오 코드(VSCode)와 같은 정상 소프트웨어를 악용하고 있다.

카스퍼스키 연구진은 최근 수개월간 김수키의 활동을 집중 분석했으며, 이 과정에서 러스트(Rust) 기반 백도어인 '헬로도어(HelloDoor)'를 식별했다. 헬로도어 코드 내 이모지가 포함된 주석과 문법 오류는 대형언어모델(LLM)을 활용한 악성코드 개발 정황을 시사하며, 이는 김수키가 AI 기술을 공격 도구 제작에 본격 활용하기 시작했음을 보여준다. 또한, VSCode의 원격 터널링 기능과 원격 관리 도구(RMM)인 'DWAgent'를 악용해 정상 소프트웨어 기반 원격 접속 채널을 구축한 점도 포착됐다. 정상 프로그램을 활용하기 때문에 보안 솔루션 입장에서 탐지가 어렵다는 특징이 있다.

애플시드(악성코드 클러스터) 악성코드에서는 정부 공인 전자인증서(GPKI)가 저장된 디렉토리를 수집하는 기능이 확인되었다. 이러한 인증서 유출 시 공무원 계정 도용 및 정부 시스템 침해 가능성이 제기된다. 김수키는 2013년부터 활동한 한국어 기반 지능형 지속 위협(APT) 그룹으로, 맞춤형 스피어피싱 이메일 제작에 특화되어 있으며, 스피어피싱 이메일과 메신저를 통해 악성 첨부파일을 전달하는 방식을 사용했다. 첨부파일은 JSE, EXE, PIF, SCR 형식의 드로퍼(Dropper)로, 제품 견적서, 채용 공고, 정부 문서, 개인 사진 등으로 위장되어 있었다.