구글 "AI가 제로데이 취약점 찾아 공격 사례 확인"

AI로 제로데이 취약점 발견, 이미 무기화 움직임
대규모 악용 실행 전 선제 차단했지만…"이번 사건 처음 아니다"

AI로 만든 이미지[ [사진=MS코파일럿]

인공지능(AI)이 처음으로 사이버 해킹에 쓰이는 취약점 공격 도구(익스플로잇)를 직접 개발·무기화한 사실이 확인됐다. AI 모델이 해킹에 악용될 수 있다는 우려가 현실이 됐다는 점에서, 보안업계는 물론 각국 정부의 AI 거버넌스 정책에도 파장이 예상된다.

13일 공개된 구글 위협인텔리전스그룹(GTIG) 보고서에 따르면, 사이버 범죄자들이 AI를 이용해 제로데이 취약점을 발견하고 무기화한 첫 실증 사례가 확인됐다. 제로데이(Zero-Day)란 소프트웨어 개발사조차 아직 인지하지 못한 보안 결함으로, 보안 업데이트 없이는 방어가 불가능한 치명적 취약점이다.

GTIG 분석 결과, 공격자들은 오픈소스 웹 기반 시스템 관리 도구의 2단계 인증(2FA) 우회를 가능하게 하는 제로데이 취약점을 파이썬 스크립트로 구현했다. 구글은 해당 도구의 이름과 해킹 그룹의 신원을 공개하지 않았으나, 이 그룹이 "고프로파일 사건과 대규모 악용의 강력한 이력"을 보유한 유명 사이버범죄 조직이라고 밝혔다.

이 취약점은 소프트웨어가 특정 조건을 무조건 믿도록 코드에 넣은 허점에서 비롯됐다. 예를 들어 ‘이 경로로 들어오면 이미 인증된 사용자’라고 개발자가 당연시한 가정이 잘못된 것인데, 코드를 한 줄씩 보면 눈에 띄지 않고 전체 흐름을 이해해야만 보이는 유형의 결함이다. AI는 방대한 코드를 통째로 읽고 이런 논리적 허점을 빠르게 찾아내는 데 특히 뛰어나다.

다만 구글은 자사의 제미나이나 앤트로픽의 미토스 모델이 이번 공격에 사용됐다는 증거는 없다고 선을 그었다. GTIG 수석 분석가 존 헐트퀴스트는 "이번 사건이 처음은 아닐 것"이라며 "AI 취약점 경쟁이 임박했다는 인식은 잘못된 것이다. 이미 시작됐다"고 경고했다.

구글은 이번 공격을 해당 소프트웨어 업체에 사전 통보해 보안업데이트를 완료했으며, 대규모 악용이 실행되기 전 선제적으로 차단했다고 밝혔다.

이번 보고서에는 국가 연계 해킹 그룹들의 AI 활용 실태도 담겼다. 북한의 APT45는 수천 건의 반복적인 프롬프트를 전송해 다양한 공개 취약점(CVE)를 재귀적으로 분석하고 개념 증명(PoC) 익스플로잇을 검증하는 데 AI를 활용한 것으로 나타났다. 중국 연계 그룹 UNC2814는 AI에 네트워크 보안 전문가 역할을 부여하는 '페르소나 기반 탈옥' 기법으로 TP-Link 펌웨어 등 임베디드 기기의 취약점 연구에 제미나이를 이용했다.

앤트로픽은 지난 4월 고성능 모델 미토스의 출시를 지연하기로 결정했다. 범죄자들이 수십 년 된 소프트웨어 취약점을 파고드는 데 이 모델이 악용될 수 있다는 우려 때문이다. 한국도 이번 위협과 무관하지 않다. 보고서는 APT45는 한국을 주요 표적으로 삼아온 북한 국가 연계 해킹 조직으로 AI를 활용한 취약점 발굴 능력을 갖췄다고 밝혔다.