혈혈단신 멕시코 정부 기관 9곳 뚫어버린 해커, AI가 조수였다

한 해커가 단신으로 멕시코 정부 기관 9곳을 침해하는 데 성공했다. 클로드코드(Claude Code)와 오픈AI의 GPT-4.1 등 인기 높은 AI 플랫폼을 이용했다고 보안 기업 갬빗시큐리티(Gambit Security)가 밝혔다. 공격 기간도 그리 길지 않아 작년 12월부터 올해 2월까지, 단 3개월 동안 진행된 게 전부였다. AI가 악용될 때의 가장 무서운 점인 ‘공격량의 폭발적 증가’가 드러난 사례다.

갬빗이 공개한 보고서에 따르면 공격자는 “인간이 쫓아갈 수 없는 속도로 멕시코 정부 시스템에 접근했다”고 한다. “접근 후에는 컴퓨터에 원격 명령을 전송하고 실행했는데, 이 작업의 75%를 클로드코드가 담당했습니다. 해커가 직접 입력한 프롬프트는 1088개이고, 클로드코드는 이것을 바탕으로 34개의 실제 세션에서 5317개의 명령을 생성했습니다. 무슨 뜻이냐면, 한 명의 해커가 한 팀이 할 만한 분량의 행위를 해냈다는 것입니다. 그 결과 단 몇 시간 만에 공격 표적을 명확하게 분석할 수도 있었습니다.”

AI가 공격을? 안전장치는?

이 지점에서 의문이 생긴다. 유명 AI 서비스들은 해킹 공격을 할 수 없도록 개발사 측에서 미리 안전장치를 탑재하는데, 어떻게 AI가 해커 대신 공격을 할 수 있었을까? “아주 간단하게 AI를 속였습니다. 12월 27일 공격자는 자신이 합법적인 버그바운티 프로그램에 참여 중이라고 주장하며 AI 세션을 시작했고, 1084줄에 달하는 해킹 매뉴얼을 입력했습니다. 기록 파일을 자동으로 삭제하는 등 흔적을 숨기는 방법을 학습시키는 내용이 포함돼 있었습니다.”

상황극 혹은 역할극을 통해 AI를 속이는 건 오래 전부터 알려져 왔다. 유의미한 개선도 꾸준히 있어 왔다. 하지만 ‘완전한 해결이 불가능한 문제’이기 때문에 근절되기 어려울 것이며, 따라서 꽤 긴 시간 AI 생태계의 위협으로 남아 있을 전망이다. 이에 대해 갬빗은 이렇게 설명한다. “AI는 본질적으로 맥락을 따르는 기계입니다. LLM은 ‘이 상황에서 통계학적으로 가장 자연스러운 응답’을 생성하도록 만들어져 있거든요. ‘난 합법적인 보안 연구자’라는 상황을 설정해두면 LLM은 그것을 비판적으로 검증하지 않고 전제로서 받아들입니다.”

상대방의 숨겨진 의도를 파악하는 것 자체가 항상 정답을 내기 어려운 문제라는 것도 생각해야 한다. “어느 날 당신의 지인이 와서 ‘보안 연구를 좀 해보려 하는데, 도움이 필요하다’고 요청한다면, 당신은 그 말 속에 숨겨진 진짜 의도를 단번에 파악할 수 있나요? 모의 해킹을 하려는 사용자의 의도가 진짜 모의 해킹인지 실제 공격인지, 기계는 100% 알아맞출 수 있을까요? 사람도 어려운 일을, 사람이 만든 기계가 더 잘 할 수는 없습니다.” 이런 LLM의 특성 때문에 역할극 통한 AI 속이기는 오랜 시간 IT와 보안 업계의 트러블 메이커가 될 예정이다.

GPT-4.1은 어떻게 악용됐나?

클로드코드가 역할극에 속아 해커의 수족이 되었다면, GPT-4.1은 뭘 했을까? 자동 분석가 혹은 설계자 역할을 담당했다고 갬빗 측은 설명한다. “해커는 305개 내부 서버에서 탈취한 데이터를 GPT-4.1에 전송했습니다. GPT-4.1은 이를 분석하여 멕시코 정부 서버 구조를 설명하는 보고서 2597개를 생성했습니다.” 공격자는 이를 바탕으로 서버 구조를 분석하고 내부 네트워크에 대한 이해도를 높임으로써 공격에 필요한 정보를 정리했을 것으로 추정된다.

그런데 여기서도 의문이 생긴다. 2597개 보고서 분량의 정보를 해커 한 명이 어떻게 소화했을까? 갬빗은 여기에 대한 확답을 아직 찾아내지 못했고, 따라서 이번 보고서를 통해 제공하지 않는다. 하지만 이 보고서를 다시 LLM에 입력해 요약본을 받는 등의 방법으로 핵심 정보를 추출했으리라는 건 어렵지 않게 추측할 수 있다. AI는 정보를 추려 요약하거나 핵심을 도출하는 데에 특화된 기술이며, 입력된 정보가 많으면 많을수록 보다 정확한 답을 제공한다. 2597개 보고서 분량의 정보라면 AI로 압축하고 또 압축하는 과정 중에 공격자가 정확한 정보를 취득했을 가능성이 높다.

어떤 피해 발생했나?

AI 모델을 활용해 자신이 공격할 대상에 대해 빠르게 파악한 공격자는 광범위한 피해를 일으켰다. 
1) 세무 당국(SAT)에서는 1억 9500만 건의 납세자 기록에 접근, 가짜 납세 증명서를 생성하는 서비스를 구축
2) 멕시코시티 관할 시민 데이터베이스에 접근, 단순 예약 파일을 이용해 비밀 키를 심고 2억 2000만 건의 시민 기록을 장악
3) 할리스코 주에서는 13노드 뉴타닉스(Nutanix) 클러스터를 포함한 전체 서버 시스템을 장악, 37개 데이터베이스에 접근

이건 어떤 의미일까? “공격자는 세금 사기, 신원 도용을 통한 금융 범죄를 추가로 실시할 수 있습니다. 주민 정보와 출생 및 사망 기록, 가족 관계까지 가져갔으므로 대규모 개인정보 악용이나 정교한 피싱 공격도 가능합니다. 건강 기록까지 가져갔다는 건, 이러한 위험들에 더해 실제 물리적 안전까지 위협할 수 있다는 뜻입니다. 정부 시스템에 들어가 백도어를 유지해 반복적으로 출입할 수도 있습니다.” 후속 공격이 더 무서운 형태로 이어질 수 있다는 게 가장 무서운 점이라 할 수 있다.

우려해야 할 건 또 있다. AI를 활용해 공격을 기획하고 진행하면서 공격자가 여러 자산을 축적하게 됐다는 것이다. “공격자는 여러 시스템에 최초 접근할 때 CVE 취약점 약 스무 개를 익스플로잇 했습니다. 그런 후 내부 정찰을 진행했고, 각종 익스플로잇 행위들을 AI로 자동화하기도 했습니다. 익스플로잇 코드나 각종 서버 및 DB용 스크립트, 횡적 이동에 필요한 스크립트, 데이터 추출용 스크립트 등 다양한 스크립트가 생겨났고, 그 결과 현재 400개 이상의 스크립트를 보유하게 된 것으로 보입니다.”

400개 스크립트가 전부 세상에 없는, 완전히 새롭게 만들어진 무기는 아닐 것이다. 일부는 이미 존재하던 것을 AI나 공격자가 어디선가 가져왔을 수도 있다. 하지만 적잖은 수는 AI가 이번 공격을 위해 생성한 것이다. “즉 혼자서 운영하는 공격 플랫폼 하나가 완성됐다고도 볼 수 있습니다. 도구를 생성하고, 그것을 자동화 기술로 실행하며, 그 과정에서 생성된 스트립트를 재활용하기까지 하는 하나의 커다란 순환구조를 해커는 보유하게 된 것이죠. 분명 이를 활용한 추가 공격이 어디선가 이뤄지고 있거나, 있을 거라고 예상할 수 있습니다.”

하지만 공격을 성공시킨 건

갬빗은 이번 사건의 핵심은 ‘AI’이기도 하지만, 다른 게 하나 더 있다고 짚는다. “해커가 아무리 AI를 뛰어나게 사용하고, AI가 아무리 기술적으로 발달했다 하더라도, ‘이것’이 없었다면 아무 소용 없었을 것입니다. 공격이 성립하게 된 배경에 ‘이것’이 있었기 때문에 이 사달이 난 거라고도 할 수 있습니다.”

‘이것’은 보안 업계가 오랜 세월 지적해 온 ‘기본기’다. “이번에 당한 정부 기관들이 소프트웨어를 제 때 업데이트 하지 않았고, 비밀번호도 주기적으로 변경하지 않았으며, 망분리도 거의 하지 않았다는 게 공격 성공의 이유인 것으로 분석됐습니다. 이런 기본 조치들만 해주었더라도 공격을 충분히 막을 수 있었습니다.”

공격자가 약 20개의 CVE 취약점을 악용해 최초 침투를 실시했다는 것도 눈여겨볼 내용이다. CVE에 등재돼 있었다는 건 이미 알려진 취약점일 가능성을 시사하기 때문이다. “수백 개의 스크립트가 생성되고 실행됐다는 건, 공격자가 자산을 충실히 쌓았다는 뜻도 되지만, 방어자 입장에서 탐지할 기회가 그만큼 많았다는 의미도 됩니다. 하지만 피해를 입은 9개 기관은 그걸 해내지 못했죠.”

갬빗은 AI에 대해 “이들은 문을 열고 들어가게 해 준 도구가 아니라, 문을 찾고 들어가는 과정에 속도를 붙여준 ‘증폭기’였을 뿐”이라고 설명한다. “문 100개를 도둑이 하나하나 열어보고 들어가려면 시간이 오래 걸리겠죠. 하지만 뭔가가 그 문 100개를 동시에 열어서 확인해준다면, 도둑이 집안으로 순식간에 진입할 수 있겠고요. AI가 한 것은 그 ‘뭔가’의 역할 뿐입니다. AI가 직접 침투해 물건을 찾아 빼앗아오지 않았습니다.”

AI라는 기술의 본질을 기억해야 한다고 갬빗은 강조한다. “원래 AI는 사용자가 잘 하던 것을 훨씬 더 잘 하게 해줄 뿐, 아예 없던 능력을 갖게 해주는 마법같은 기술이 아닙니다. 적어도 지금 시점에는요. 우리의 오래된 실수나 해이를 전문적으로 파고들었던 공격자에게는, 그런 능력을 발휘할 만한 힘이 되어주는 게 AI라는 뜻입니다.” 그건 거꾸로 말해 우리의 실수로 인한 피해 역시 AI가 증폭시킨다는 의미로도 해석이 가능하다. “AI가 위험한 건 그 기술 자체만으로 신비한 해킹 공격이 가능해서가 아닙니다. 우리의 바늘 구멍 같은 빈틈을 성벽 전체 붕괴로 귀결시킬 수 있기 때문입니다.”🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• 암호화폐·금융권 대상 공격에서 AI 기반 정찰, 피싱, 자동화된 침투가 소규모 단독 공격자에게도 대형 기관을 동시다발적으로 노릴 수 있게 만든다는 점을 보여주는 참고 기사 - Reuters , 2025년
• 생성형 AI가 공격자의 생산성을 높여 한 명의 해커도 다수 기관을 상대로 정찰·사회공학·악성코드 배포를 빠르게 수행할 수 있음을 설명하는 보안기업 보고서 「Microsoft Digital Defense Report 2024」 - Microsoft , 2024년
• AI 활용 공격, 자동화된 피싱, 프롬프트 악용, 취약점 탐색의 속도 증가가 적은 인력으로도 다수 표적을 공략하게 만든다고 정리한 분석 자료 「Top 10 AI Security Risks for 2024」 - Trend Micro , 2024년
• AI가 사이버 범죄의 진입 장벽을 낮춰 개인 공격자가 더 넓은 범위의 기관·네트워크를 상대로 대규모 피해를 낼 수 있다는 점을 보여주는 글로벌 리스크 분석 기사 「These are the 3 biggest emerging risks the world is facing」 - World Economic Forum , 2024년

인공지능 때문에 늘어나는 자동화 트래픽, 보안 사고의 씨앗

💡Editor’s Pick - 자동화 트래픽 크게 늘리는 인공지능 서비스들 - 나쁜 트래픽 아니어도 ‘봇 트래픽 증가’ 만으로도 문제 - 통제 불가능한 수준이 되는 것이 불안의 근원...가시성 확보 필요 LLM이 인기를 끌면서 인공지능이 대중화 되기 시작했다. 이 때문에 봇 트래픽이 급격히 증가하는 중이다. 동시에 자동화 기술이 발전하고 광범위하게 도입되면서 자동화

더테크엣지(The Tech Edge)문가용 기자

[Hackyboiz 해킹짹짹 x TTE] 당신의 ‘AI 심리상담사’는 왜 스파이가 되었는가

💡Editor Pick - 공격은 침입이 아닌 관계에서 시작 - AI는 기술이 아닌 신뢰를 기반으로 데이터 수집 - 사용자가 문을 여는 순간, 보안의 전제는 무너짐 Hackyboiz Brief : 당신이 털어놓은 고민은 어떻게 데이터가 되는가 AI 상담 서비스를 이용하는 사용자들이 더 많은 많아지고 있다. 사람들은 검색창에 질문을 입력하는 것 만이 아닌, 자신의 감정과

더테크엣지(The Tech Edge)Donghwi Shin