앤트로픽 “AI, 사이버 공격 침투 이후 단계까지 활용”
앤트로픽은 2025년 3월부터 2026년 3월까지 악의적 사이버 활동으로 차단한 832개 계정을 분석한 결과, 인공지능(AI)이 악성코드 개발 같은 공격 준비 단계를 넘어 침투 이후 단계에도 활용되고 있다고 3일 밝혔다.
앤트로픽은 이번 분석에서 사이버 공격자의 전술과 기법을 분류하는 마이터 어택(MITRE ATT&CK) 체계에 실제 악성 활동을 매핑했다. 마이터 어택은 공격자가 침투 전후에 쓰는 정찰, 초기 접근, 권한 상승, 내부 이동, 데이터 유출 등 전술과 기법을 정리한 지식 체계다.
분석 대상 832개 계정은 앤트로픽 이용 정책을 위반해 차단된 계정이다. 앤트로픽은 이 계정에서 관찰한 1만3873건의 악성 활동을 482개 고유 하위 기법과 14개 전술에 매핑했다. 다만 이번 분석 대상은 해당 기간 차단된 전체 계정이 아니라, 공격 기법을 평가할 만큼 충분한 정보를 확보한 사례다.
앤트로픽은 이번 분석에서 세 가지 변화를 짚었다. 첫째, 공격자가 AI를 더 위험한 활동에 쓰기 시작했다. 둘째는, AI가 공격 과정의 여러 단계를 연결하면서 공격 자동화 수준이 높아지고 있다. 셋째, 기존 마이터 어택 체계는 AI 기반 공격의 위험성을 충분히 포착하지 못한다는 것이다.
가장 많이 관찰된 AI 활용은 공격 준비 단계였다. 분석 대상 832개 계정 가운데 560개는 악성코드 개발에 AI를 사용했다. 전체의 67.3%다. 공격자는 AI로 맞춤형 스크립트를 만들고, 파일을 난독화하고, 탐지 회피 코드를 작성했다.
다만 앤트로픽은 공격자가 AI를 쓰는 지점이 점차 침투 이후의 공격 후반부로 이동하고 있다고 봤다. 예를 들어 침해된 환경 안에서 유효 계정을 찾는 계정 탐색은 8.9% 증가했다. 자동 데이터 유출은 6.2% 늘었다. 반대로 공격 준비에 해당하는 역량 개발은 12%, 초기 접근에 자주 쓰이는 피싱은 8.6% 줄었다.
침투 이후 단계에서 AI를 쓰는 비중은 아직 크지 않다. 832개 계정 가운데 침해된 네트워크 내부에서 다른 시스템으로 이동하는 ‘측면 이동’에 AI를 쓴 계정은 54개였다. 전체의 6.5%다. 하지만 앤트로픽은 이 지점을 고위험 신호로 봤다. 측면 이동에 AI를 사용한 공격자는 그렇지 않은 공격자보다 평균 위험 점수가 10.5점 높았다.
위험도 변화도 나타났다. 앤트로픽은 자체 위험 점수 체계인 AI 위험 활성화 점수(ARiES)를 적용했다. 이 점수는 공격자의 의도와 정교함, AI 모델이 피해 발생에 기여한 정도, 실제 또는 잠재적 영향을 종합해 0점부터 100점까지 산정한다.
분석 첫 6개월 동안 중위험 이상으로 분류된 공격자는 33%였다. 두 번째 6개월에는 이 비중이 56%로 높아졌다. 약 1.7배 증가한 수치다. 앤트로픽은 “AI가 공격자들이 더 정교한 사이버 작전을 쉽게 수행하도록 돕고 있음을 시사한다”고 설명했다.
기존 위협 평가 방식도 한계를 드러냈다. 보안팀은 그동안 공격자가 몇 가지 기법을 쓰는지, 얼마나 정교한 도구를 쓰는지, 어떤 인터페이스를 활용하는지를 위험 판단 기준으로 삼아왔다. 그러나 앤트로픽은 AI 환경에서는 이 기준의 설명력이 약해지고 있다고 분석했다.
기술 수준이 낮은 공격자도 AI를 이용하면 여러 공격 기법을 수행할 수 있기 때문이다. 앤트로픽 데이터에서 숙련도가 낮은 공격자는 평균 16개 기법을 썼고, 숙련도가 높은 공격자는 평균 20개 기법을 사용했다. 기법 수만으로 공격자의 위험도를 판단하기 어려워진 셈이다.
앤트로픽은 더 중요한 기준으로 ‘AI를 공격 과정 어디에 쓰는지’를 제시했다. 단순 코드 작성이나 피싱 문구 생성보다 계정 탐색, 권한 상승, 자격 증명 탈취, 측면 이동, 웹 셸 배포처럼 침투 이후 단계에 AI를 쓰는 공격자가 더 위험하다는 설명이다.
더 큰 변화는 AI 주변에 구축되는 공격 구조다. 앤트로픽은 고위험 공격자가 AI 모델 주변에 코드, 도구, 자동화 구조를 붙여 공격 단계를 연결한다고 봤다. 이를 통해 AI가 정찰, 취약점 악용, 자격 증명 탈취, 내부 이동, 데이터 수집을 이어서 수행할 수 있다.
앤트로픽은 2025년 11월 차단한 국가 지원 사이버 스파이 작전을 사례로 들었다. 해당 공격자는 클로드 코드(Claude Code)를 단순한 코드 작성 도구가 아니라 자율 운영자처럼 활용했다. 클로드 코드는 개발자가 코드를 작성하고 수정하는 데 쓰는 앤트로픽의 AI 기반 코딩 도구다.
이 공격에서 AI는 명령어를 실행하고, 취약점을 악용하고, 자격 증명을 탈취했다. 또 내부 시스템을 탐색하고 다음 행동을 결정했다. 인간은 일부 중요한 순간에만 개입했다. 앤트로픽은 이 공격에 최고 위험 점수인 100점을 부여했다.
하지만 마이터 어택 체계로 보면 해당 공격자는 13개 전술에 걸쳐 30개 기법을 쓴 것으로 나타났다. 이는 데이터에 포함된 일부 중위험 공격자와 비슷한 수준이다. 앤트로픽은 이 사례가 “사용한 기법의 수만으로 실제 위험성을 평가하면 위험을 과소평가할 수 있다”는 점을 보여준다고 설명했다.
앤트로픽은 기존 마이터 어택 체계가 AI 기반 공격의 핵심 위험을 충분히 담지 못한다고 지적했다. 자율적인 킬체인 조율, 실시간 공격 방향 전환, 인간 개입 없는 AI 주도 실행 같은 행동은 아직 마이터 어택 체계 안에서 별도 식별 번호를 갖지 않는다. 킬체인은 공격자가 정찰부터 침투, 내부 이동, 데이터 유출까지 이어가는 공격 흐름을 말한다.
앤트로픽은 이번 분석 결과를 자사 모델의 오용 방지 조치에도 반영했다고 밝혔다. 악성코드 개발과 대규모 데이터 유출 같은 활동을 탐지하고 차단하기 위해 사이버 보안 조치를 개발해 배포했다. 또 버라이즌과의 협업을 바탕으로 마이터와 함께 AI 기반 공격 행동을 마이터 어택 체계에 포함하는 방안도 논의하고 있다.
이번 분석은 방어자에게도 과제를 남긴다. 공격자가 AI로 취약점 탐색과 악용 속도를 높이는 만큼, 방어자도 AI를 활용해 취약점 발견부터 패치까지 걸리는 시간을 줄여야 한다는 것이다.
앤트로픽은 “가장 위험한 공격자는 단순히 공격 도구를 만드는 데 그치지 않고 AI를 사용해 공격을 조율하고 있다”며 “위협을 추적하는 프레임워크도 이러한 변화에 맞춰 진화해야 한다”고 강조했다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network
