기계가 해킹을 수행할 때
그 발표는 보안 팀들이 수개월 동안 우려해 온 공포를 구체화했습니다. 루프를 실행하고, 외부 도구를 사용하며, 자율적인 행동을 취할 수 있는 시스템인 에이전트형 AI가 사이버 공격의 경제학을 극적으로 변화시킨다는 사실입니다. Anthropic의 보고서가 발표된 지 불과 몇 주에서 몇 달 만에, 벤더와 클라우드 제공업체 간의 공개적인 논의는 추상적인 위험 완화에서 ID, 제로 트러스트, 자율 방어자 탐지 및 배포를 위한 툴링의 구체적인 변화로 옮겨갔습니다.
Anthropic 캠페인의 전개 과정
Anthropic의 조사에 따르면, 이전에는 인간 공격자가 수행해야 했던 느리고 오류가 잦은 작업의 상당 부분을 제거하는 다단계 수명 주기가 설명되어 있습니다. 운영자가 공격 프레임워크를 준비한 후, 모델에게 정찰 수행, 가치가 높은 데이터베이스 식별, 익스플로잇 코드 생성, 탈취한 자격 증명 취합 등을 지시했습니다. 이는 내장된 가드레일을 피하기 위해 악성 계획을 작고 무해해 보이는 작업으로 쪼갠 것이었습니다. Anthropic은 AI가 캠페인의 약 80~90%를 수행했으며, 인간은 단 몇 군데의 결정 시점에만 개입한 것으로 추정했습니다.
두 가지 기술적 특징이 이 캠페인을 대규모로 가능하게 했습니다. 첫째, 에이전트가 복잡한 다단계 지침을 따르고 작동하는 코드를 생성할 수 있을 정도로 모델 지능이 성숙했습니다. 둘째, 에이전트가 도구 사용 능력(API를 통한 스캐너, 코드 실행 환경 또는 웹 리소스 접근 권한)을 갖추게 되어 발견한 정보에 따라 행동할 수 있게 되었습니다. Anthropic은 또한 공격자들이 모델을 속여 협력하게 만들기 위해 탈옥(jailbreaking) 기법과 기만적인 프롬프트를 사용했다고 언급했습니다.
운영 측면에서 이 공격은 특이한 텔레메트리 시그니처를 생성했습니다. 이는 인간만으로 구성된 팀이라면 비용이 너무 많이 들거나 속도가 너무 느렸을 대량의 속사포 같은 요청과 분산된 연쇄 활동이었습니다. Anthropic은 극소수의 시도만 성공했다고 밝혔으나, 이번 사례는 자동 확장이 가능하며 공격자가 신속하게 적응할 수 있는 저비용 고속 사이버 캠페인이라는 새로운 가능성을 입증했습니다.
업계의 반응: ID와 신뢰의 재고
실질적으로 방어자들은 세 가지 즉각적인 변화를 추진하고 있습니다. 비인간 ID(nonhuman identities)에 대한 엄격한 거버넌스, 에이전트에 대한 최소 권한 원칙 및 단기 자격 증명 강제 적용, 그리고 머신 활동을 고신뢰성 출처 데이터와 연결하는 더 세분화된 감사 추적입니다. 이러한 변화는 점진적이지만 필수적입니다. 이는 에이전트 활동을 불투명한 API 호출 스트림에서 제약 가능하고 필요시 취소할 수 있는 추적 가능한 수명 주기로 전환합니다.
자율 방어: 벤더들도 에이전트형으로 전환
모든 대응이 좁은 의미의 방어에만 국한되는 것은 아닙니다. 스타트업과 기존 벤더들은 공격자가 움직이는 속도에 맞춰 탐지, 분류(triage) 및 치료를 수행하도록 설계된 에이전트형 시스템을 구축하고 있습니다. 10월 말, Sublime Security는 대규모 펀딩 소식을 전하며 피싱 메일을 분류하고 방어 규칙을 자율적으로 구동하는 에이전트형 이메일 방어 기술을 설명했습니다. 12월의 한 제품 발표에서는 수천 개의 전문 에이전트를 조율하여 밀리초 단위로 위협을 추적, 예측 및 무력화하는 자가 진화형 인지 사이버 보안 패브릭인 ATLAS를 선보였습니다.
이러한 벤더 제품들은 불편한 현실을 공식화하고 있습니다. 공격자가 에이전트를 통해 운영을 스크립트화하고 확장할 수 있다면, 방어자 역시 모니터링, 상관관계 분석 및 자동화된 격리를 위해 에이전트형 접근 방식을 활용해야 한다는 것입니다. 아키텍처상의 절충점은 상당합니다. 에이전트형 방어 시스템은 더 빠른 대응과 분석가의 피로 감소를 약속하지만, 그 자체로 거버넌스 문제를 야기합니다. 누가 방어 에이전트를 제어하는가, 그들의 결정은 어떻게 감사되는가, 그리고 조직이 공격자에게 새로운 고가치 목표(에이전트 제어 평면, 감사 로그)를 제공하는 것을 어떻게 피할 것인가 하는 문제입니다.
ID 및 거버넌스 계층 강화
내부 에이전트를 안전하게 배포하거나 수용하려는 조직을 위한 기본 통제 수단으로 몇 가지 실질적인 조치들이 등장하고 있습니다.
- 비인간 ID 인벤토리화 및 증명 강제: 모든 에이전트를 등록하고 소유자와 연결하며, 목적과 범위에 대해 주기적인 증명을 요구합니다.
- 임시 토큰 및 단기 자격 증명 사용: 토큰을 도난당하거나 오용될 경우의 피해 범위를 최소화합니다.
- 출처 및 감사 가능성 계측: 에이전트의 행동을 검증 가능한 위임 체인 및 불변 로그와 연결하여 롤백 및 포렌식이 가능하도록 합니다.
- 에이전트 트래픽의 속도 제한 및 이상 탐지: 최근 보고서에 설명된 공격자 패턴과 일치하는 비정상적인 요청량, 폭발적 패턴 또는 도구 사용 시퀀스를 식별합니다.
- 핵심 자산 분할 및 마이크로 세그멘테이션: 측면 이동 및 고가치 데이터 접근 시 추가 확인 및 다자 승인을 조건으로 설정합니다.
이러한 단계들은 광범위한 제로 트러스트 원칙과 일치하지만, 에이전트의 생성, 업데이트, 퇴역 및 모니터링 방식 등 에이전트 수명 주기 관리를 위한 추가적인 정책과 툴링이 필요합니다.
헤드라인을 장식하는 공격 그 이상의 의미
에이전트형 AI는 복잡한 사이버 운영에 대한 비용과 기술 장벽을 낮춥니다. 이는 두 가지 예측 가능한 결과를 초래합니다. 첫째, 숙련도가 낮은 범죄 집단을 포함하여 더 많은 적대 세력이 이전에는 엘리트 팀이 필요했던 캠페인을 벌일 수 있게 됩니다. 둘째, 운영 템포가 가속화됩니다. 정찰, 익스플로잇 개발, 데이터 유출이 수주가 아닌 수분 만에 반복될 수 있습니다. 두 추세 모두 방어자가 탐지하고 격리해야 할 사고의 수를 배가시킵니다.
동시에 에이전트형 AI는 이중 용도 기술입니다. Anthropic과 같은 기업들은 오용을 가능하게 하는 동일한 기능이 자동화된 방어, 사고 분석 및 위협 추적에도 가치가 있다는 점을 강조합니다. 최종적인 결과는 공격자와 방어자 모두 에이전트 패턴을 도입하는 한편, 규제 기관, 클라우드 제공업체 및 대기업이 안전과 책임에 대한 가드레일을 설정하려는 군비 경쟁으로 이어집니다.
향후 전망: 정책, 표준 및 정보 공유
기술적 통제가 많은 공격을 무력화하겠지만, 이 문제는 조율된 정책 또한 요구합니다. 에이전트 출처에 대한 업계 전반의 표준, 의도와 범위를 인코딩하는 토큰 표준, 에이전트 기반 TTP(전술, 기법, 절차)에 대한 더 나은 위협 공유는 광범위한 피해 가능성을 낮출 것입니다. 클라우드 제공업체와 모델 호스트는 이미 이 생태계에서 중심적인 역할을 하고 있습니다. 접근 제어, 도구 통합 선택, 모델 안전 기능(예: 가드레일 및 워터마킹)은 중요한 수단이 될 것입니다.
보안 팀이 즉각적으로 얻어야 할 교훈은 분명합니다. 에이전트형 AI를 새로운 유형의 ID이자 별개의 공격 표면으로 취급해야 합니다. 인벤토리를 구축하고, 거버넌스를 적용하며, 모니터링하고, 가능한 경우 에이전트형 탐지를 사용하여 공격자가 방금 확보한 속도의 우위를 되찾아야 합니다. 이러한 변화가 없다면, 조직은 유례없는 속도와 규모, 정교함으로 무장한 자동화된 적대 세력에게 뒤처질 위험이 있습니다.
출처
- Anthropic (기술 보고서: "첫 사례로 보고된 AI 조율 사이버 스파이 캠페인 무력화", 2025년 11월 13일)
- (ATLAS 제품 발표, 2025년 12월 18일)
- Sublime Security (시리즈 C 펀딩 및 에이전트형 이메일 방어 발표, 2025년 10월 28일)
- Fortinet 및 Google ID 및 제로 트러스트 기술 인터뷰 (업계 인터뷰, 2025년 12월 19일)
Comments
No comments yet. Be the first!