AI 에이전트와 모델이 사이버 공격 표면을 확장하고 있다고 보안 전문가들 경고
인공지능(artificial intelligence)의 기업 인프라로의 빠른 통합은 사이버보안 지형에 지각변동을 일으키고 있습니다. 조직들이 자율형 AI 에이전트와 개방 표준을 통해 대형 언어 모델(Large Language Models, LLMs)을 배포하기 위해 경쟁하면서, 보안 연구자들은 대규모로 확장되는 공격 표면에 대해 경종을 울리고 있습니다. Model Context Protocol(MCP)을 실행하는 보안되지 않은 엔드포인트에서 국가 주도의 행위자들이 사이버전(cyberwarfare)에 AI를 무기화하는 것에 이르기까지, 위협 벡터는 많은 방어 메커니즘이 적응하기보다 더 빠르게 진화하고 있습니다.
에이전트형 AI 위험: 새로운 최전선
AI 에이전트(AI agents)—복잡한 워크플로를 실행하고 결정을 내릴 수 있는 자율 소프트웨어—의 배치는 전통적인 보안 패러다임이 해결하기 어렵게 만든 취약성 계층을 도입했습니다. Darktrace Inc.의 보안 및 AI 전략 부사장인 Dr. Margaret Cunningham은 최근 Cloud Security Alliance(CSA) 브리핑에서 에이전트형 AI의 행동 패턴이 근본적으로 보안 환경을 변화시키고 있다고 강조했습니다.
정적 소프트웨어 도구와 달리, AI 에이전트는 데이터에 접근하고 다른 에이전트와 통신하며 코드를 실행하기 위해 광범위한 권한을 필요로 합니다. 이러한 자율성은 효율성을 높이지만, 경계가 뚫리기 쉬운 상태를 만듭니다. Anthropic이 2024년 말에 도입한 모델 컨텍스트 프로토콜(Model Context Protocol, MCP)은 AI 모델이 외부 데이터와 도구에 연결되는 방식을 표준화하려는 의도로 설계되었습니다. 그러나 최근 발견들은 이러한 연결성이 큰 보안 비용을 초래했음을 시사합니다.
MCP 취약점: 95%의 맹점
가장 우려스러운 폭로 중 하나는 MCP 서버 배치 분석에서 나옵니다. LLM과 외부 데이터셋 사이의 연결 조직 역할을 하도록 설계된 MCP 서버는 종종 충분한 감독 없이 배포됩니다. IANS Research의 교수진인 Aaron Turner는 이 프로토콜 내에서 "진정한 네이티브 풀스택 보안"을 찾지 못했다고 단언하며 조직들에게 심각한 결과에 대비하라고 경고했습니다.
Clutch Security Inc.가 수행한 연구는 현재 MCP 보안 상태를 극명하게 보여줍니다:
Table 1: Critical Security Gaps in MCP Deployments
| Metric | Finding | Implication |
|---|---|---|
| Deployment Location | 95% of MCPs run on employee endpoints | Bypasses centralized server security controls |
| Visibility Level | Zero visibility for security teams | IT cannot monitor or audit agent activity |
| Recommended Posture | "Treat as Malware" (Aaron Turner) | Requires strict isolation and zero-trust protocols |
| Attack Vector | CI Pipelines and Cloud Workloads | Potential for supply chain injection and lateral movement |
이 배치들의 대다수가 직원 엔드포인트에 존재한다는 사실은 이들이 표준 서버 측 보안 도구의 관리 범위 밖에서 운영된다는 것을 의미합니다. 이 소위 "섀도우 AI(Shadow AI)" 인프라는 연결된 모든 노트북을 AI 에이전트에 부여된 신뢰된 연결을 악용하려는 공격자들에게 잠재적 진입점으로 전환시킵니다.
LLM 인프라에 대한 공격 급증
위협은 단지 이론적 문제가 아닙니다. AI 인프라에 대한 실제적 악용이 이미 대규모로 발생하고 있습니다. 인터넷 배경 노이즈 분석을 전문으로 하는 사이버보안 기업 GreyNoise Intelligence Inc.는 LLM 엔드포인트를 겨냥한 적대적 정찰의 극적인 급증을 문서화했습니다.
2024년 10월에 시작된 3개월 기간 동안, GreyNoise는 LLM 인프라를 겨냥한 91,000건 이상의 개별 공격 세션을 기록했습니다. 이러한 캠페인의 강도는 변동성이 크며, 그 중 거의 81,000건이 단 11일 내에 발생했습니다. 이러한 공격은 주로 OpenAI 호환 API와 Google Gemini 형식의 취약점을 탐지하기 위해 설계되었으며, 이는 공격자들이 AI 공급망의 취약점을 자동으로 탐색하고 있음을 나타냅니다.
이러한 사이버 공격의 민주화는 Wendy Nather(1Password)가 표현한 바와 같은 위험한 "보안 빈곤선"을 만들고 있습니다. 자원이 풍부한 기업은 고급 AI 방어 메커니즘을 마련할 수 있지만, 자원이 부족한 소규모 기업과 덜 정교한 공격자들은 갈라지는 격차의 반대편에 놓이게 됩니다. "스크립트 키디"를 포함한 저자원 공격자들도 이제 AI를 활용해 그들의 활동을 확장하고 있으며, 이전에 상당한 수작업이 필요했던 익스플로잇을 자동화하고 있습니다.
국가 주도 행위자들: 지정학적 AI 군비 경쟁
기회주의적 범죄자들 외에도, 국가 주도 행위자들은 공격적 사이버 역량에 AI를 적극적으로 통합하고 있습니다. 보고서들은 이란과 중국과 같은 국가들이 자국 모델을 개발할 뿐만 아니라 상업적 도구를 사용해 사이버전 능력을 강화하고 있음을 시사합니다.
Iran: 텔아비브 대학의 Dr. Avi Davidi는 APT-42와 같은 이란 그룹들이 산업 제어 시스템을 스캔하고 외국 방위 네트워크를 탐침하기 위해 AI를 적극적으로 사용하고 있다고 언급합니다. 이들 그룹은 AI 시스템을 속여 레드팀(red-teaming) 지침을 제공하게 하려는 시도를 관찰되었습니다—본질적으로 AI를 사용해 공격 설계도를 생성하는 것입니다.
China: 중국에 대한 우려는 미국을 AI 능력 면에서 앞지를 수 있는 잠재력에 집중됩니다. 전 미국 국방부 차관인 Colin Kahl은 현재 미국이 모델 품질에서 우위를 점하고 있지만, 중국은 "가깝고 빠른 추격자(close fast follower)"이며 격차를 빠르게 좁힐 산업적 역량을 가지고 있다고 경고했습니다. 고급 반도체에 대한 수출 통제가 있음에도 불구하고 Nvidia의 H200 칩과 같은 하드웨어가 중국 기업으로 확산되는 것은 기술적 억제 전략에 한계가 있음을 시사합니다.
AI 최전선을 보호하기 위한 권장사항
공격 표면이 확장됨에 따라 보안 리더들은 반응적 패치에서 AI 자산의 사전적 거버넌스로 전환해야 합니다. 다음 전략들은 AI 에이전트와 MCP와 관련된 위험을 완화하는 데 필수적입니다:
- 엔드포인트 격리: 직원 장치에 있는 MCP 배치를 신뢰할 수 없는 실행 파일과 동일한 엄격한 기준으로 취급하십시오. 횡적 이동을 방지하기 위해 엄격한 샌드박스와 네트워크 분할을 구현하십시오.
- 가시성 우선: "섀도우 AI" 인스턴스를 발견하고 모니터링하도록 특별히 설계된 도구를 배포하십시오. 보안 팀이 에이전트를 볼 수 없다면, 이를 보호할 수 없습니다.
- 에이전트를 위한 제로 트러스트: AI 에이전트의 행동을 암묵적으로 신뢰하지 마십시오. 특히 코드 실행이나 데이터 유출과 관련된 중요한 작업에 대해 "인간 개입(human-in-the-loop)" 검증을 구현하십시오.
- 공급망 감시: 에이전트가 상호작용하는 서드파티 모델과 API를 정기적으로 감사하십시오. GreyNoise 데이터는 해당 인프라 자체가 지속적인 공격 대상임을 확인시켜 줍니다.
AI 에이전트의 시대는 전례 없는 생산성을 약속하지만, 데이터가 보여주듯 현재 전례 없는 리스크도 동반합니다. 기업들에게 전하는 메시지는 분명합니다: AI 공격 표면은 이미 존재하며 확대되고 있으며, 완전히 새로운 방어 플레이북이 필요합니다.
