Google GTIG가 사이버범죄 집단의 AI 생성 Zero-Day 익스플로잇을 역사상 최초로 확인. 웹 관리도구 2FA 우회 취약점을 AI가 시맨틱 로직 분석으로 발견해 무기화, 책임 공개로 차단.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
인류 역사상 처음으로, 사이버범죄 집단이 AI 모델을 사용해 실제 운영 중인 소프트웨어에서 신규 취약점을 발견하고 무기화까지 완료했다. 2026년 5월 Google Threat Intelligence Group(GTIG)은 이 익스플로잇을 대규모 공격 실행 전에 포착했고, 그 흔적은 코드 자체에 남아 있었다.
GTIG 분석가들이 검토한 Python 익스플로잇 스크립트에는 공격 도구답지 않은 특징이 고스란히 담겨 있었다. 지나치게 상세한 교육용 주석, 누군가 임의로 삽입한 CVSS 점수, LLM 학습 데이터 특유의 깔끔한 Pythonic 구조. 사람이 만든 코드가 아니었다.
GTIG는 2026년 2월부터 AI를 이용한 위협 행위자 활동을 공식 추적했다. 당시 첫 보고서는 중국 연계 APT27과 북한 연계 APT45가 AI를 피싱 강화나 기존 CVE 재귀 분석에 활용하는 사례를 기록하면서도, "아직 획기적인 능력 변화는 없다"고 결론 지었다. 국가 지원 그룹들이 AI를 쓰고 있지만, 그 쓰임새는 보조 수단 수준에 머물렀다.
3개월 후 발견된 이 익스플로잇의 배후는 국가 지원 해킹 그룹이 아니다. GTIG는 공격자를 "prominent cybercrime threat actors"로 분류했다. 금전적 동기의 집단이 국가 행위자보다 먼저 AI 활용을 한 단계 끌어올렸다는 사실은, AI 무기화의 확산 경로가 예측했던 것과 다를 수 있음을 보여준다.
표적은 전 세계적으로 광범위하게 사용되는 오픈소스 웹 기반 시스템 관리 도구였다. GTIG는 진행 중인 책임 공개 절차를 이유로 소프트웨어 이름을 공개하지 않았다. 공격이 성공하려면 유효한 사용자 자격증명이 먼저 필요했다. 2FA는 계정 자격증명 탈취 이후의 두 번째 방어선이기 때문이다. 계정 정보를 먼저 확보한 뒤, 그 마지막 방어선을 무너뜨리는 2단계 시나리오였다.
전통적인 취약점 탐색 도구는 메모리 손상, 정수 오버플로, 입력 검증 오류처럼 패턴으로 식별 가능한 결함을 찾는다. 퍼징 엔진은 예상치 못한 입력값으로 소프트웨어를 충돌시키려 한다. 이번 2FA 우회 취약점은 그 어느 방법으로도 보이지 않는 종류였다.
취약점의 실체는 GTIG가 "시맨틱 로직 결함(semantic logic flaw)"이라고 부른 유형이었다. 개발자가 특정 조건을 무조건 신뢰하도록 코드에 하드코딩한 예외 조항이 있었고, 2FA 강제 적용 로직은 그 예외를 고려하지 않은 채 구현됐다. 정적 분석기나 퍼저에게는 기능적으로 올바른 코드처럼 보인다. 두 로직 사이에 개발자의 의도와 실제 동작 사이의 모순이 조용히 숨어 있었고, 그것을 식별하려면 코드베이스 전체를 읽고 개발자의 의도를 추론해야 했다.
AI 언어 모델은 이 작업을 할 수 있다. 코드베이스 전체를 읽으면서 개발자가 무엇을 하려 했는지 추론하고, 그 의도와 실제 구현 사이의 간극을 상관 분석하는 방식으로 모순 지점을 드러낸다. GTIG는 이런 잠재적 결함을 "개발자가 코드에 심어둔 휴면 논리 오류(dormant logic errors)"라고 표현했다.
완성된 익스플로잇 코드에는 AI가 만들었다는 흔적이 고스란히 남아 있었다. 실제 공격 도구에서는 보기 드문 분량의 교육용 docstring, AI가 임의로 삽입한 CVSS 점수, LLM 학습 데이터 특유의 깔끔한 구조, 그리고 상세한 help 메뉴와 ANSI 컬러 클래스가 포함됐다. GTIG는 이 특징들을 근거로 AI 생성 판정을 내렸다. Gemini 사용 여부는 Google이 직접 조사해 배제했다. 어떤 LLM인지는 특정하지 못했다.
이 익스플로잇은 대규모 공격에 사용되기 전에 차단됐다. GTIG가 해당 벤더에 책임 공개를 진행했고, 벤더는 신속하게 대응했다. 구체적인 피해자 수나 패치 세부 정보는 공개되지 않았다.
이 사건은 고립된 사례가 아니다. 같은 GTIG 보고서에서 함께 기록된 활동들이 더 넓은 그림을 보여준다. 북한 연계 APT45는 수만 건의 반복 프롬프트로 기존 CVE를 재귀 분석하고 취약 환경에서 AI 생성 페이로드를 정제하는 체계를 갖추고 있었다. 중국 연계 APT27은 Gemini를 활용해 ORB 프록시 네트워크 관리 앱 개발을 가속화했다. 사이버범죄 집단 TeamPCP(UNC6780)는 LiteLLM, BerriAI, Trivy, Checkmarx 같은 AI 인프라 공급망을 직접 공격해 AWS 키와 GitHub 토큰을 탈취했다. Mandiant가 이 그룹에 대한 다수의 사고 대응(IR)을 진행한 것으로 보고됐다.
GTIG는 이 전체 추세를 재평가했다. 2월 보고서가 "획기적 능력 변화 없음"이라고 평가했던 AI 위협은, 5월 보고서에서 "초기 실험 단계에서 생성형 모델의 산업적 규모 적용으로 성숙하는 전환이 진행 중"으로 바뀌었다.
이번 발견은 AI 위협의 질적 전환점이다. 이전까지 AI는 알려진 취약점의 분석을 돕거나, 피싱 메시지를 더 설득력 있게 만드는 데 쓰였다. 신규 zero-day를 직접 발견하고 무기화하는 데 AI가 사용된 것이 확인된 사례는 이번이 처음이다.
취약점의 클래스가 달라졌다는 점이 핵심이다. 시맨틱 로직 결함은 전통적인 자동화 도구가 거의 포착하지 못하는 유형이다. 인간 분석가도 수주가 걸릴 수 있는 작업이다. LLM이 이 작업을 코드베이스 전체 규모에서 자동화할 수 있다는 것이, 이번 사건이 증명한 내용이다.
방어 측에게는 새로운 탐지 지표가 생겼다. AI가 만든 공격 도구는 흔적을 남겼다. 교육용 docstring의 과다 포함, 할루시네이션된 CVSS 점수 삽입, LLM 특유의 코드 구조가 그것이다. GTIG는 이번 사건을 MITRE ATT&CK T1587.004(Develop Capabilities: Exploits)와 T1588.006(Obtain Capabilities: Vulnerabilities)으로 분류했다.
이 사건이 차단됐다는 사실은 중요하다. 그러나 차단의 근거는 기법의 결함이 아니라, AI가 아직 흔적을 지우는 법을 배우지 못했기 때문이다. 역사상 처음 확인된 AI 생성 zero-day는, 탐지 가능한 흔적을 남겼기에 포착됐다. 그 흔적이 사라지는 시점이 다음 질문이 된다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.