기술

AI가 작동하는 제로데이 익스플로잇을 작성, 구글이 먼저 차단했다

AI가 작동하는 제로데이 익스플로잇을 작성, 구글이 먼저 차단했다
Susan Hill
2026.05.13 19:03

공격 코드가 노린 곳은 이메일, 인터넷 뱅킹, 클라우드 저장소, 직장 로그인 등 사용자가 가장 중요하게 여기는 계정을 지키는 이중 인증(2FA)이었다. 도구의 Python 코드 안에 있는 의미론적 논리 결함이, 이미 자격 증명을 탈취한 공격자에게 개발자가 결코 외부에 노출할 의도가 없었던 하드코딩 예외를 트리거해 2FA 검사를 우회하도록 허용했다. 구글은 이 결함을 찾아 영향을 받은 벤더에 패치를 위해 통보했고, 계획된 공격을 시작되기 전에 무력화시켰다. 이 발견을 “처음”으로 만드는 건 결함 자체가 아니라 발견 방식이다.

구글의 분석가들은 익스플로잇 코드에서 대규모 언어 모델의 분명한 흔적이 보였다고 말한다. 튜토리얼 스타일의 docstring, 매우 구조화된 포맷, 그리고 LLM 학습 데이터에서 “매우 전형적”이라고 묘사할 만한 작성 스타일이 그것이다. 팀은 “높은 확신”으로, 발견과 무기화 작업의 대부분을 단독으로 일한 인간이 아니라 AI가 수행했다고 결론지었다. 피해를 입은 회사, 범죄 그룹, 그리고 도구의 이름은 여전히 공개되지 않고 있다.

이 구분이 중요한 이유는, 발견된 결함이 그동안 기계가 잘 못 찾는다고 알려져 온 종류이기 때문이다. 전통적인 취약점 스캐너는 크래시나 메모리 손상을 찾는다. 이번 경우는 2FA 적용 로직과 하드코딩된 예외 사이의 모순이었다. 수천 줄의 코드를 읽으며 불일치를 찾아내는 꼼꼼한 사람 감사관이라야 잡을 수 있는 종류의 버그다. 구글은 최신 언어 모델이 이런 문맥적 읽기를, 어떤 감사 팀도 따라잡을 수 없는 속도로 점점 잘 해내고 있다고 지적한다.

Endflame, 일본을 배경으로 한 심리 호러 게임 ‘Silent Road’ 발표

보고서는 범죄 조직과 무관한 더 넓은 패턴도 다룬다. 구글이 UNC2814라는 코드명으로 추적하는 중국 친화적 클러스터는 임베디드 기기 취약점 연구를 가속하기 위해 AI를 활용해 왔다. 북한 그룹 APT45는 모델에 수천 개의 반복 프롬프트를 입력해 CVE 카탈로그의 항목을 재귀적으로 분석하고 익스플로잇의 개념 증명을 검증했다. 운영자는 다르지만 기법은 같다: 모델을 지치지 않는 연구 보조원으로 만드는 것이다.

구글의 서사에는 분명히 짚어둘 한계가 있다. 회사는 피해 도구, 위협 행위자, 패치 일정 중 어느 것도 공개하지 않았고, AI 흔적이라는 결론을 오직 자사 내부 분석에 근거해 믿어 달라고 요구한다. 이번 주에 발표된 외부의 어떤 확인도, 익스플로잇 코드 자체를 독립적으로 포렌식 검토하지는 않았다. “높은 확신” 평가는 GTIG의 말과 범죄 조직의 침묵 사이의 균형이다. 또한 근본 결함, 즉 하드코딩 예외 누락은 AI의 도움 없이도 수십 년 동안 인간 개발자들이 저질러 온 종류의 실수라는 점도 그대로 사실이다. 모델이 발견을 앞당겼을 수는 있지만, 결함 자체는 그것을 찾아낸 시스템보다 오래되었다.

일반 사용자를 위한 즉각적인 행동 지침은 없다. 결함은 IT 팀이 운영하는 소프트웨어 안에 있고 개인 기기에는 없기 때문이다. 그러나 함의는 직접적이다. 우리가 의존하는 방어선은 패스워드 매니저부터 기업의 싱글 사인온(SSO)까지, 사람의 속도로 일하는 사람 공격자를 상대로 설계되었다. AI의 도움을 받은 공격자는 경험 많은 엔지니어가 한 문단을 읽듯이 코드베이스를 읽어낸다. 방어자도 같은 일을 익혀야 할 것이다.

확정된 것은 영향을 받은 벤더에 통보가 갔고 패치가 배포되고 있다는 사실이다. 더 넓은 분석은 공격 보안에서의 AI 사용을 추적하는 Google Cloud의 위협 인텔리전스 시리즈의 일부로 2026년 5월 11일에 발표되었다. 구글의 수석 위협 분석가 존 헐트퀴스트(John Hultquist)는 이후 며칠간 기자들에게 “AI 대 방어자의 경주는 곧 다가올 일이 아니라 이미 진행 중”이라고 말했다. AI 지원 도구에 관한 후속 보고서는 2026년 2분기 종료 전 발표가 예상된다.

관련 기사

내년 가장 기대되는 게임: 그랜드 테프트 오토 VI(GTA 6)

내년 가장 기대되는 게임: 그랜드 테프트 오토 VI(GTA 6)

Dragonkin: The Banished와 커뮤니티 주도형 RPG 개발의 부상

Dragonkin: The Banished와 커뮤니티 주도형 RPG 개발의 부상

데스티니 가디언즈, ‘Renegades’ 확장팩 통해 루카스필름 게임즈와의 협업 공개

데스티니 가디언즈, ‘Renegades’ 확장팩 통해 루카스필름 게임즈와의 협업 공개

블루포치 게임즈, ‘리버스: 1999’ 버전 1.5의 두 번째 단계 ‘부활! 울루루 게임즈’ 출시 발표

블루포치 게임즈, ‘리버스: 1999’ 버전 1.5의 두 번째 단계 ‘부활! 울루루 게임즈’ 출시 발표

지능의 새로운 물리학: 열역학 컴퓨팅과 디지털 결정론의 종말

지능의 새로운 물리학: 열역학 컴퓨팅과 디지털 결정론의 종말

화웨이, 세계 최초 트리플 폴더블 스마트폰 ‘메이트 XT 얼티메이트 디자인’ 출시

화웨이, 세계 최초 트리플 폴더블 스마트폰 ‘메이트 XT 얼티메이트 디자인’ 출시

토론

댓글 0개가 있습니다.