AI 에이전트가 랜섬웨어 공격 전체를 자체적으로 수행한 것으로 알려짐

사이버 보안 연구원들은 거의 전적으로 자율 AI 에이전트에 의해 수행될 수 있는 최초의 랜섬웨어 공격이 무엇인지 문서화했으며 이는 미래에 사이버 공격이 수행될 수 있는 방식에 중요한 변화를 가져올 것이라고 밝혔습니다. 클라우드 보안 회사 Sysdig에 따르면 JadePuffer라는 랜섬웨어 작전이 대규모 언어 모델(LLM) 에이전트에 의존하여 지속적인 인간 개입 없이 거의 모든 공격 단계를 수행하는 것으로 보입니다.

만약 확인된다면, 이 사건은 AI가 악성 코드 작성을 넘어 실시간으로 사이버 공격을 적극적으로 계획, 적응 및 실행하는 것으로 나아가고 있음을 시사합니다.

JadePuffer는 인간 해커처럼 장애물에 적응했습니다.

Sysdig의 조사 결과에 따르면 JadePuffer는 LLM 기반 애플리케이션을 구축하는 데 사용되는 오픈 소스 프레임워크인 Langflow의 원격 코드 실행 취약점인 CVE-2025-3248을 악용하는 것부터 시작했습니다. 2025년 4월에 패치된 이 결함은 나중에 미국 사이버보안 및 인프라 보안국(CISA)의 실제 악용으로 알려진 취약점 목록에 추가되었습니다.

시스템 내부로 들어가면 AI 에이전트는 보안 연구원이 일반적으로 숙련된 인간 운영자와 연관시키는 전체 공격 체인을 수행한 것으로 알려졌습니다. 피해자의 인프라를 통해 측면으로 이동하기 전에 호스트 정보를 수집하고, 자격 증명 및 민감한 파일을 검색하고, 클라우드 비밀을 추출하고, 스토리지 리소스를 매핑했습니다.

눈에 띄는 것은 단순한 자동화가 아니라 적응성이었습니다.

Sysdig 보고서에 따르면 연구원들은 특정 명령이 실패할 때 AI 에이전트가 동적으로 응답하는 것을 관찰했습니다. 어떤 경우에는 맬웨어가 MinIO 개체 저장소를 쿼리하는 동안 예기치 않은 XML 응답을 발견했습니다. 에이전트는 실패하는 대신 구문 분석 논리를 수정하고 다른 접근 방식을 사용하여 다시 시도했습니다. 연구원들은 또한 사람의 입력 없이 31초 이내에 자동으로 수정된 실패한 로그인 시도를 문서화했습니다.

AI는 나중에 Alibaba Nacos를 실행하는 프로덕션 서버로 전환하기 전에 예약된 크론 작업을 생성하여 지속성을 확립했으며, 여기서 CVE-2021-29441을 악용하여 악성 관리자 계정을 생성했습니다. 결국 1,342개의 Nacos 구성 기록을 암호화하고 원본 데이터를 삭제한 후 비트코인 ​​지불을 요구하는 랜섬노트로 대체했습니다.

흥미롭게도 연구원들은 해당 작업이 AI에 의해 생성되었음을 시사하는 몇 가지 징후를 발견했습니다. 악성 코드에는 자신의 추론을 설명하는 비정상적으로 상세한 자연어 설명이 포함되어 있었으며, 랜섬 노트에는 실제 지불 주소가 아닌 문서에서 일반적으로 예시로 사용되는 비트코인 ​​지갑이 언급되어 있었습니다. Sysdig는 또한 AES-256 암호화를 주장함에도 불구하고 악성코드가 ECB 모드에서 AES-128을 사용했을 가능성이 있다고 믿고 있습니다.

이번 조사 결과는 사이버 보안 전문가들이 AI 시스템이 단순히 프롬프트에 응답하는 것이 아니라 독립적으로 복잡한 작업을 계획하고 실행할 수 있는 에이전트 AI의 출현에 대해 점점 더 경고하고 있는 가운데 나온 것입니다. JadePuffer는 새로운 공격 방법을 고안하기보다는 여전히 알려진 취약점을 악용했지만 정찰, 권한 상승, 지속성 및 랜섬웨어 배포를 자율적으로 수행하는 능력은 공격적인 AI 기능의 눈에 띄는 증가를 나타냅니다.

Sysdig는 이번 사건이 “에이전트 위협 행위자”가 효과적으로 도착했음을 보여주며 잠재적으로 정교한 사이버 공격을 시작하는 데 필요한 기술 전문성을 낮출 수 있다고 말합니다. 동시에 연구원들은 AI로 생성된 공격이 방어자가 새로운 탐지 기술을 구축하는 데 사용할 수 있는 고유한 행동 패턴과 코딩 특성을 남길 수도 있다고 지적합니다.

조직의 경우 이 보고서는 공격자가 변화하기 시작하더라도 인터넷 연결 시스템을 패치하고 클라우드 자격 증명을 확보하는 것이 여전히 중요하다는 점을 다시 한번 상기시켜 줍니다.

관련 정보는 아래 링크에서 확인하세요

자세한 정보 확인

관련 기사

댓글 남기기