AI가 촉발한 새로운 전쟁: 러시아 연계 해킹 그룹 GreyVibe의 우크라이나 침투 작전

인간과 AI가 함께 만든 치명적 무기고

GreyVibe의 성공 비결은 맞춤 제작된 악성 코드 모음에 있다. 위드시큐어는 이 도구들의 상당 부분이 LLM(거대 언어 모델), 특히 챗GPT와 제미나이의 상당한 도움을 받아 개발되었다고 중간 정도의 신뢰도로 평가한다. 그러나 아이러니하게도 이 AI 지원 개발 과정에서 생긴 설계 결함이 치명적인 작전 실수가 되었으며, 연구자들에게 수개월 동안 이 그룹의 활동을 들여다볼 수 있는 창구를 제공했다 .

• PhantomRelay: 윈도우 원격 접근 트로이목마(RAT)로, 주요 초기 침투 도구이다. PyInstaller 또는 자바스크립트 기반 로더를 통해 유포된다 .
• LegionRelay: 좀 더 다재다능한 2단계 도구인 파워셸 기반 RAT이다. REST API를 통해 명령 및 제어(C2) 서버와 통신하며, 파일 탐색 및 유출, 스크린샷 캡처, 브라우저·텔레그램·왓츠앱 정보 탈취, RDP 접근 등의 기능을 수행한다. 연구자들은 LegionRelay에서 발견된 중대한 코딩 결함이 전형적인 LLM 지원 개발의 결과물이라고 판단하고 있다 .
• FallSpy: 2025년 8월부터 PrincessClub과 Nebo 캠페인에서 사용된 안드로이드 감시 도구다. 연락처, 통화 기록, 설치된 앱, SIM 카드 정보, 기기 정보, Wi-Fi SSID, 위치, 공인 IP, 미디어 파일 등을 수집한다 .
• 순환식 난독화 도구: 탐지를 피하기 위해 이 그룹은 여러 커스텀 로더와 난독화 도구(obfuscator)를 교대로 사용했다. 여기에는 LOOKVALPS(파워셸), LOOKVALJS(자바스크립트), DAYLIGHT(2025년 10월부터 LOOKVALPS를 대체한 파워셸), TEASOUP(2026년 3월부터 LOOKVALJS를 대체한 자바스크립트) 등이 포함된다 .

국가 배후인가, 사이버 범죄 집단인가? 정체성 퍼즐

GreyVibe의 활동은 명백히 러시아의 국가적 이익에 부합하지만, 이 그룹의 정체성은 단순히 국가 지원 해킹 조직으로 규정하기 어렵다. 위드시큐어의 분석은 이들이 보다 복잡하고 혼합적인 성격을 띤다고 지목한다.

연구진은 높은 신뢰도로 GreyVibe의 작전 목표가 우크라이나 전쟁과 관련된 러시아의 정보 수집 목표와 일치한다고 판단한다. 이는 표적(군사, 정부, 핵심 기반 시설) 분석과 실제 탈취 행위에 기반한 평가다 . 또한 코드 주석, 관리자 패널의 언어 설정, 작업 시간대 분석을 통해 운영자들이 **러시아어를 사용하며 모스크바 표준 시간대(UTC+3)**에서 활동하고 있다는 점도 높은 신뢰도로 확인되었다 .

반면, 이들을 순수한 국가 지원 지능형 지속 위협(APT) 조직으로 분류하는 데는 신중한 입장이다. 이들이 사이버 범죄 생태계와 깊은 연관성을 가졌다는 여러 정황 증거가 존재하기 때문이다. PhantomRelay 변종이 관련 없어 보이는 다른 사이버 범죄 클러스터에서 발견되었고, 악명 높은 트릭봇(TrickBot) 생태계와의 연관성이 의심되는 고유한 ISO 빌더를 사용한 정황도 포착되었다. 그 외에도 운영자들이 개발 샘플을 바이러스토탈(VirusTotal)에 업로드하던 점, "letsrollboyos"나 "cuteuwu" 같은 인터넷 속어를 작명에 사용한 점, 일부 LegionRelay 감염 기기에 XMRig 암호화폐 채굴기를 배포한 점 등이 범죄 집단의 특성을 시사한다 .

위드시큐어는 GreyVibe가 더 넓은 지하 범죄 세계와 연관되어 있을 것이라고 중간 정도의 신뢰도로 평가하지만, 그 관계의 본질(국가 요원의 흡수, 계약직 제휴, 혼합 팀 등)은 여전히 밝혀지지 않았다. 다만, 러시아 정보 기관이 국가 지원 작업을 위해 사이버 범죄 집단을 공동 활용했다는 과거 사례가 존재한다는 점을 보고서는 언급한다 .

결론적으로 GreyVibe는 그 자체로는 중간 이하 수준의 기술력을 가진 그룹으로 보이지만, AI를 공격적으로 무기화함으로써 실제 전투력보다 훨씬 위협적인 치명적 존재로 '분수에 넘치는 활약' 을 펼치고 있다고 평가할 수 있다 .