AI 에이전트가 실제로 해킹…엔트로픽, ‘AI 주도 스파이 작전’ 분석 내용 공개
인공지능(AI) 에이전트가 실제 해킹에 본격적으로 활용된 정황이 포착됐다. 엔트로픽(Anthropic)은 중국 배후 해커 조직 ‘GTG-1002’가 자사의 인공지능(AI) 기반 코드 자동화 도구 ‘클로드 코드(Claude Code)’를 악용해 공격 과정 대부분을 자동으로 수행한 사실을 확인했다고 밝혔다.
엔트로픽은 13일(현지시간) 발표한 ‘AI 주도 스파이 작전(Disrupting the first reported AI-orchestrated cyber espionage campaign)’ 보고서를 통해 “인공지능(AI) 에이전트가 정찰·취약점 탐색·내부 이동·데이터 탈취까지 공격의 전 과정을 스스로 주도한 사례가 처음 확인된 것”이라고 설명했다.
보고서에 따르면, GTG-1002는 9월 중순부터 약 10일 동안 30여개 기관을 동시에 표적으로 삼았고 일부 기관은 실제 침투 피해가 확인됐다. 공격자는 AI 모델의 안전장치를 우회하기 위해 자신을 ‘보안 점검을 수행하는 엔지니어’라고 속였고, 이 과정을 통해 클로드 코드가 공격 명령을 수행하도록 만들었다. 엔트로픽은 이를 “AI 자체를 속여 공격 체인에 끌어들인 첫 사회공학적 공격 사례”라고 평가했다.
보고서의 핵심은 AI 에이전트가 실제 공격의 실행 주체로 움직였다는 점이다. 사람은 특정 단계에서 승인만 했고, 클로드 코드는 ▲타깃 시스템 정찰 ▲공격 표면 구성 ▲취약점 분석 ▲페이로드 제작 ▲내부 이동 ▲데이터 분류·정리 ▲작전 문서화까지 대부분을 스스로 처리했다. ‘모델 컨텍스트 프로토콜(MCP, AI가 외부 도구와 연결되는 표준 통신 규격)’과 연동된 AI는 수백 개의 서비스 정보를 자동으로 수집해 각각의 내부 구조를 파악했고, 이를 기반으로 하나의 공격 흐름을 구성했다.
취약점 분석에서도 AI의 자율성은 두드러졌다. 클로드 코드는 특정 서버에서 ‘서버 요청 위조(SSRF, 공격자가 서버에게 외부 또는 내부 네트워크 자원에 대리 요청을 보내도록 속여 내부망 정보나 인증 데이터를 빼내는 취약점) 취약점’을 알아낸 뒤 공격 페이로드를 자동 제작해 콜백 응답을 통해 성공 여부를 판단했다. 이후 내부 설정 파일, ‘애플리케이션 프로그래밍 인터페이스(API)’ 응답, 데이터베이스 구성을 분석해 인증 토큰과 계정 정보를 추출했고, 이를 조합해 내부 시스템에 연쇄적으로 접근했다. 엔트로픽은 “민감 시스템 접근이나 대량 데이터 탈취의 최종 승인만 사람이 개입했다”고 분석했다.
데이터 수집 과정도 대부분 자동화됐다. 침투한 시스템에서 클로드 코드는 데이터베이스 구조를 파악한 뒤 계정 정보·암호 해시·시스템 설정을 추출했고, 스스로 데이터를 분류했다. 일부 사례에서는 백도어 계정을 생성해 지속적으로 접근할 수 있는 길을 확보하고, 다운로드한 정보를 정리한 요약 보고서까지 자동 작성했다. 엔트로픽은 “기계가 만든 수준이 아니라 사람에게 인수인계할 수 있는 완성된 보고서였다”고 밝혔다.

이번 공격의 기술적 특징은 악성코드가 아니라 기존 보안 도구를 AI가 오케스트레이션했다는 점이다. 오케스트레이션은 AI가 취약점 분석기·스캐너·데이터베이스(DB) 공격 도구 등을 순차와 병렬로 자동 실행하며 전체 공격 흐름을 관리했다는 것을 뜻한다.
공격자는 네트워크 스캐너, DB 익스플로잇 프레임워크, 패스워드 크래커 등 상용 도구를 MCP 기반 자동화 프레임워크에 연동했고, 클로드 코드는 공격자의 뜻에 따라 여러 보안 도구를 순차가 아닌 동시 다발적으로 조작해 짧은 시간 안에 대규모 침투 작업을 수행했다. 엔트로픽은 “침투 기술의 고도화가 아니라 도구 조합 능력이 위협을 가속화하고 있다”며 “다른 조직도 쉽게 모방할 수 있는 구조”라고 분석했다.
엔트로픽은 AI의 한계점도 확인했다. 클로드 코드가 일부 공격 과정에서 실제 존재하지 않는 계정을 “획득했다”고 잘못 보고하거나, 공개된 데이터를 민감 정보로 분류하는 등 할루시네이션이 발생한 것이다. 엔트로픽은 이를 “완전 자동화된 AI 공격까지 남은 기술적 간극”으로 평가했다.
국내 보안 기업들은 이번 공격 사례를 “이미 기술적으로는 충분히 가능한 수준”이라며 “공격을 막는 보안에도 똑같이 적용될 필요가 있다”고 진단했다.
AI 보안 전문기업 샌즈랩 관계자는 “엔트로픽 보고서의 공격 흐름과 유사한 방식으로, 기업 내 화이트해커들도 사이버 위협 인텔리전스(CTI) 분석에 이미 대규모언어모델(LLM)을 결합하고 있다”며 “자동 분류·패턴 식별·보고서 생성 등은 현재 상용화된 기능”이라고 설명했다. 이어 그는 “AI의 조합 능력은 공격에서도 동일하게 적용될 수 있어, 방어도 에이전트 기반 분석 체계로 전환할 필요가 있다”고 강조했다.
오펜시브 보안 기업 엔키화이트햇 관계자는 “공격자가 보여준 방식 대부분은 화이트해커들도 기술적으로 구현이 가능하다”며 “특히 대규모 자산을 빠르게 검증하거나 초기 정찰·스캐닝의 정확성을 높이는 데 AI는 이미 효과적으로 쓰이고 있다”고 말했다. 다만 그는 “보안 기업은 윤리적 책임과 고객 개인정보 보호 의무가 있어 공격자만큼 자유롭게 AI를 활용하는데 한계가 있다”며 “전 과정 자동화는 현실적으로 제한이 있다”고 덧붙였다.
한편, 엔트로픽은 위협을 확인한 즉시 관련 계정을 폐쇄하고 자율형 공격 패턴 탐지 및 프롬프트 기반 우회 탐지 모델을 강화했다고 밝혔다. 또한 관련 기관과 정보를 공유하고 사례를 AI 관련 정책과 탐지 체계에 반영했다고 설명했다.
엔트로픽은 “AI가 공격자의 역량을 대체하는 단계에 도달했다면 방어도 AI 기반 체계로 전환해야 한다”며 “보안 관제센터(SOC) 자동화, 위협 분석, 취약점 점검 등 다양한 분야에서 AI 활용이 필수”라고 강조했다. 이어 “이번 공격 방식은 대형 조직뿐 아니라 중소 규모 조직에도 빠르게 확산될 수 있어 대응 속도 전환이 시급하다”고 덧붙였다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

