Marimo Python 노트북 CVE-2026-39987(CVSS 9.8)로 LLM 에이전트가 사전 스크립트 없이 2분 미만에 4-피벗으로 PostgreSQL DB를 탈취한 첫 실사례와 GREYVIBE APT의 AI 무기화, AI 공격 89% 증가 트렌드를 분석합니다.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 5월 10일, 공격자는 스크립트를 한 줄도 직접 짜지 않았다. LLM 에이전트에 Marimo 노트북의 CVE 번호를 넘겼다. 에이전트는 2분도 안 되어 4단계 피벗을 스스로 설계하고 실행해 내부 PostgreSQL 데이터베이스를 통째로 꺼냈다.
공격자가 LLM 에이전트를 자율 실행 주체로 투입한 첫 공개 사례다. 탐지 관점에서 이 방식이 어려운 이유는 고정된 명령 시퀀스 없이 매번 다른 경로를 선택한다는 데 있다. 이 구조적 문제가 이 글에서 다루는 핵심이다.
| 항목 | 내용 |
|---|---|
| CVE | |
| CVSS | 9.8 Critical |
| 대상 | Marimo Python 노트북 ≤ 0.20.4 |
| 취약 경로 | /terminal/ws WebSocket — 인증 우회 |
| 공개 후 첫 악용 | 9시간 41분 |
| CISA KEV 등재 | 2026년 4월 23일 |
의 근본 원인은 엔드포인트 간 인증 불일치다. Marimo의 메인 WebSocket 경로 /ws는 validate_auth()를 호출한다. 반면 터미널 접속용 /terminal/ws는 이 검증을 생략한다. 인증 없이 접속하면 완전한 PTY 쉘이 열린다. 사전 인증 없이 임의 명령 실행이 가능한 구조다.
Marimo는 GitHub 스타 19,600개를 보유한 Python 반응형 노트북 프레임워크다. Jupyter의 대안으로 주목받으면서 클라우드 배포와 내부 MLOps 파이프라인에 인스턴스가 늘었다. 인터넷에 노출된 Marimo 인스턴스가 공격자의 표적이 됐다.
취약점은 2026년 4월 8일 공개됐다. Sysdig 기록에 따르면 공개 9시간 41분 후 첫 악용이 탐지됐으며, 크리덴셜 탈취까지 3분이 채 걸리지 않았다. CISA는 같은 달 23일 을 KEV 카탈로그에 추가했다. 패치 버전은 Marimo 0.23.0이다.
2026년 5월 10일 사례가 이전 악용과 구분되는 지점은 공격 실행 주체다. Sysdig 연구팀은 공격자가 초기 쉘 획득 이후 후속 작업을 LLM 에이전트에 위임했음을 확인했다. 에이전트는 사전 작성된 스크립트 없이 실시간으로 다음 경로를 조합했다.
핵심은 에이전트가 각 단계에서 상황을 읽고 다음 명령을 직접 결정했다는 점이다. 사전 정의된 플레이북이 아니라 동적 판단이었다. 공격자의 기술 수준과 무관하게 에이전트가 판단을 대신했다.
5월 10일 사례가 LLM을 공격 실행 주체로 투입한 사례라면, 동시에 진행 중인 다른 층위도 있다. LLM을 도구처럼 사용하는 APT 그룹이 이미 활동 중이다. 두 유형은 기술 수준이 다르지만 모두 같은 트렌드의 산물이다.
WithSecure가 2026년 1월 공개한 GREYVIBE는 2025년 8월부터 우크라이나와 우크라이나 관련 기관을 표적으로 삼아온 러시아 연계 위협 행위자다. BleepingComputer 기록에 따르면 GREYVIBE는 ChatGPT, Google Gemini, Ideogram AI를 체계적으로 사용한다.
GREYVIBE의 커스텀 악성코드 LegionRelay는 PowerShell 기반 RAT으로 파일 탈취, 브라우저 데이터 수집, RDP 설정, 텔레그램·왓츠앱 데이터 추출 기능을 갖췄다. WithSecure는 이 그룹을 "저~중간 수준의 정교함"으로 평가했다. 운영 보안상 실수가 잦다는 의미지만, AI 도구 접근성이 낮은 숙련도를 일부 보완하고 있다는 방증이기도 하다.
CrowdStrike 2026 글로벌 위협 보고서는 AI 지원 사이버 공격이 2025년 대비 89% 증가했다고 밝혔다. 이 증가가 탐지 관점에서 특히 어려운 이유는 시그니처 구조에 있다.
기존 SIEM 룰과 EDR 휴리스틱은 알려진 공격 시퀀스를 패턴으로 잡는다. LLM 에이전트는 같은 목표(DB 탈취)에 도달하더라도 매번 다른 명령 조합을 생성한다. 5월 10일 4-피벗 사례에서 에이전트가 선택한 명령 순서는 재현해도 동일하게 반복되지 않는다. 고정된 시퀀스가 없으면 기존 시그니처 탐지가 미끄러진다.
LAMEHUG와 PROMPTFLUX는 이를 한 단계 진화시킨 LLM 기반 악성코드다. 라이브 LLM 연결을 통해 실행 시점에 명령을 실시간 생성하기 때문에 정적 분석으로는 사전 차단이 어렵다. 패턴 기반 탐지가 아닌 행위 이상 탐지와 네트워크 이상 탐지가 더 유효한 이유다.
| 단계 | 기법 | 설명 |
|---|---|---|
| 초기 접근 | T1190 | Exploit Public-Facing Application — WebSocket 인증 우회 |
| 크리덴셜 접근 | T1212 | Exploitation for Credential Access |
| 측면 이동 | T1021.004 | Remote Services: SSH |
| 클라우드 액세스 | T1078 | Valid Accounts — AWS 크리덴셜 재사용 |
공격자가 LLM 에이전트를 채택한 핵심 동기는 의사결정 자동화다. CVE와 초기 쉘만 확보하면 에이전트가 이후 판단을 대신할 수 있다. 국내 기업 환경에서도 MLOps 파이프라인이나 내부 분석용 노트북이 인터넷에 직접 노출되는 경우가 있는 만큼 동일한 공격 경로가 적용될 수 있다. Marimo처럼 새로운 프레임워크는 보안팀이 검토하기 전에 개발자가 먼저 도입하는 경향이 있어 동일한 구조적 취약점이 반복될 수 있다.
5월 10일 사례가 보여준 것은 CVE 하나의 위험도가 아니다. 에이전트가 판단을 대신하는 구조에서는 탐지 전략 자체가 시그니처 중심에서 행위 이상 중심으로 이동해야 한다는 점이다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.