기술

AI 에이전트 단독으로 랜섬웨어 공격 수행, 그러나 설정은 인간이 필요

Adrian Kessler

최근 보안 업계를 강타한 랜섬웨어 공격은 해커가 터미널을 지켜보며 수행한 것이 아니었다. AI 에이전트가 공격의 모든 기술적 단계를 독립적으로 처리했다. 즉, 네트워크 지도 작성, 자격 증명 탈취, 시스템 간 이동, 그리고 1천 개 이상의 데이터베이스 레코드 암호화까지 모두 스스로 수행했다. 단, AI가 할 수 없었던 것은 자체 결제 인프라를 구축하거나 랜섬 노트를 보내는 일이었다.

클라우드 보안 기업 Sysdig는 이 침해 사고를 분석하고 ‘JadePuffer’라는 이름을 붙였다. 에이전트는 AI 기반 애플리케이션을 구축하는 오픈소스 프레임워크인 Langflow의 인증되지 않은 원격 코드 실행 취약점 CVE-2025-3248을 통해 접근 권한을 얻었다. 이후 환경 내에서 API 키, 클라우드 액세스 토큰, 데이터베이스 자격 증명을 샅샅이 뒤졌고, 프로덕션 MySQL 서버로 이동해 중국 기반 인프라 스택에서 널리 사용되는 엔터프라이즈 서비스 레지스트리인 Nacos에 저장된 1,342개의 구성 항목을 암호화했다.

가장 놀라운 점은 공격의 범위가 아니라 스스로 오류를 수정한 능력이다. 경로 구성 오류로 관리자 자격 증명을 위조하려는 시도가 실패하자, 에이전트는 근본 원인을 진단하고 15단계의 수정 스크립트를 작성해 31초 만에 실행했다. 이는 인간 운영자가 진단하고 스크립트를 작성해 실행하기에는 너무 빠른 속도다. 즉, 스크립트된 플레이북이 아닌 진정한 즉석 추론 능력을 보여준다.

그렇다고 랜섬웨어 작전이 곧 인간 없이 돌아가게 된다는 의미는 아니다. 이번 공격 역시 에이전트가 배포되기 전에 인간이 명령 및 제어(C2) 서버를 구성하고, ProtonMail에 랜섬 연락처를 등록하며, 인프라를 구축해야 했다. JadePuffer가 생성한 암호화 키는 저장되거나 전송되지 않았다. 즉, 피해자가 돈을 지불하더라도 데이터를 복구할 수 없다는 뜻이며, 이는 설계 결함이거나 사후 협상에 대한 무관심을 반영한다.

JadePuffer가 실제로 보여주는 것은 업무의 위임이 아니라 비용 절감이다. 이전에는 전문 기술이 필요했던 모든 단계(수평 이동, 권한 상승, 데이터베이스 열거, 실시간 오류 수정)를 이제 에이전트에 위임할 수 있다. Sysdig의 결론은 명확하다. 랜섬웨어 작전에 필요한 최소 기술 수준이 언어 모델을 실행하는 비용 수준으로 낮아졌다는 것이다.

이번 공격은 인터넷에 노출된 Langflow 설치를 대상으로 했다. Langflow CVE가 공개되었을 당시 약 7,000개의 취약한 인스턴스가 보고되었다. 패치되지 않은 Langflow, Nacos 또는 유사한 오픈소스 LLM 인프라를 인터넷에 연결된 서버에서 운영하는 모든 조직이 동일한 위험에 노출되어 있다. 이는 새로운 조언이 아니다. AI 에이전트가 등장하기 전에도 동일한 보안 지침이 존재했다. 차이점은 이제 노출된 서비스를 찾는 운영자가 자동화되었다는 점이다.

Langflow 취약점은 2025년 4월에 패치되었습니다. Sysdig는 C2 IP 주소와 랜섬 연락처 주소를 포함한 전체 침해 지표를 공개했습니다. CISA는 올해 말 에이전틱 AI 시스템 제약에 관한 초안 지침을 발표할 예정이며, 배포된 AI 에이전트의 권한 범위와 책임 소재에 대한 정책은 아직 마련되지 않았습니다.

태그: , , , , ,

토론

댓글 0개가 있습니다.