중국 해커가 AI로 사이버 공격 수행
AI가 작전의 80~90%를 자율적으로 수행한 최초의 대규모 사이버 공격 사례
표적 시스템 분석, 취약점 스캔, 악성코드 제작, 사용자 계정정보 수집, 민감 데이터 탈취 등 침해 전 과정 자율적 수행
클로드 AI 서비스 기업인 앤트로픽(Anthropic)이 지난 9월 중국 해커 조직이 자사의 AI 코딩 도구인 ‘클로드 코드(Claude Code)’를 악용해 대규모 사이버 스파이 작전을 전개한 사실을 적발하고 이를 차단했다고 13일(현지시간) 밝혔다.
월스트리트저널이 처음 보도한 이번 사건은 AI가 작전의 80~90%를 자율적으로 수행한 최초의 대규모 사이버 공격 사례로 기록됐다.
앤트로픽에 따르면 ‘GTG-1002’로 명명된 중국 해커 조직은 약 30개의 글로벌 조직을 표적으로 삼았다. 공격 대상에는 대형 테크 기업, 금융사, 화학 제조업체, 정부기관 등이 포함됐다. 앤트로픽은 이 중 소수의 공격만 성공했고, 미국 정부기관은 뚫리지 않았다고 밝혔다.
앤트로픽 측은 “이는 실질적인 인간 개입 없이 실행된 최초의 대규모 사이버 공격 사례로 판단된다”며 “AI가 초당 수천 건의 요청을 수행했는데, 이는 인간 해커로서는 도저히 따라잡을 수 없는 공격 속도”라고 설명했다.
해커들은 클로드 코드를 속여 정당한 사이버보안 회사의 직원인 것처럼 믿게 만들고, 방어적 보안 테스트를 수행하는 것으로 위장했다. 공격을 작은 단위의 일반 작업처럼 보이도록 분해함으로써 AI의 안전장치를 우회하는 ‘탈옥(jailbreaking)’ 기법을 사용한 것으로 조사됐다.
이번 공격에서 AI는 표적 시스템 분석, 취약점 스캔, 악성코드 제작, 사용자 계정정보 수집, 민감 데이터 탈취 등 침해 공격의 전 과정을 최소한의 인간 감독 하에 자율적으로 수행했다.
악시오스(Axios)에 따르면 클로드 코드는 공격 후 상세한 보고서까지 작성했으며, 여기에는 사용된 인증정보, 생성한 백도어, 침해된 시스템 등의 정보가 포함됐다.
다만 AI가 완벽하게 작동한 것은 아니었다. 앤트로픽은 “클로드가 때때로 로그인 인증정보를 환각(hallucination)하거나 이미 공개된 문서를 기밀 정보로 착각해 탈취했다고 주장하는 등의 실수를 보였다”며 “이는 여전히 완전 자율 사이버 공격의 장애물로 작용한다”고 밝혔다.
이번 공격에는 AI 모델이 외부 도구 및 서비스에 연결할 수 있는 ‘모델 컨텍스트 프로토콜(MCP)’도 활용됐다. 해커들은 MCP를 통해 복잡한 공격을 개별적이고 무해해 보이는 작업들로 분해하는 맞춤형 공격 프레임워크를 구축했다.
앤트로픽은 9월 중순 의심 징후 감지 후 10일간의 조사를 통해 공격의 전모를 파악했다. 앤트로픽 측은 “정교한 사이버 공격 수행을 위한 장벽이 실질적으로 낮아졌고 이는 앞으로도 지속될 것"이라고 경고했다.
동시에 앤트로픽은 “AI가 공격에 악용될 수 있는 능력은 사이버 방어에도 똑같이 중요하다”며 “보안팀이 AI를 방어 목적으로 실험해 보안 운영센터 자동화, 위협 탐지, 취약점 평가, 사고 대응 등의 영역에 적용할 것”을 권고했다.
이정환 기자 robotstory@irobotnews.com