반년 사이에 고위험 공격자 비율이 33%에서 56%로 껑충 뛰었습니다. Anthropic이 1년치 악성 활동 데이터를 분석하며 발견한 숫자입니다. AI가 단순히 공격을 “더 쉽게” 만드는 수준을 넘어, 공격자의 실력 자체를 끌어올리고 있다는 뜻입니다.

Anthropic이 2025년 3월부터 2026년 3월까지 악성 사이버 활동으로 차단한 계정 832개를 분석한 보고서를 발표했습니다. 보안 커뮤니티가 오랫동안 사용해온 공격 기법 데이터베이스 MITRE ATT&CK에 이 사례들을 매핑하고, AI 활용 공격의 특징과 기존 보안 프레임워크의 한계를 정리했습니다.

출처: What we learned mapping a year’s worth of AI-enabled cyber threats – Anthropic

AI는 공격의 어느 단계를 바꾸고 있나

분석된 832개 계정 중 67.3%는 AI를 악성코드(malware) 작성에 썼습니다. 가장 흔한 사용 방식이죠. 하지만 더 주목할 변화는 따로 있습니다.

공격자들이 AI를 활용하는 단계가 공격 초기에서 내부로 이동하고 있다는 점입니다. 피싱처럼 시스템에 처음 침투하는 데 AI를 쓰는 비율은 8.6% 감소했습니다. 반면, 침투 이후 네트워크 내부의 유효한 계정을 탐색하는 ‘계정 발견(account discovery)’ 용도는 8.9% 증가했습니다.

이런 후속 침투 기법은 원래 상당한 기술력을 갖춘 공격자만 구사할 수 있는 영역이었습니다. AI가 그 문턱을 낮추면서, 이전이라면 중간 수준의 공격자가 접근하기 어려웠던 기법들이 보편화되고 있는 셈입니다.

기술 수준으로 위험도를 가늠하기 어려워진 이유

보안팀이 공격자의 위험도를 판단할 때 전통적으로 쓰는 기준이 있습니다. 얼마나 다양한 기법을 쓰는지, 어떤 플랫폼이나 인터페이스를 사용하는지 같은 것들입니다.

그런데 이 분석은 그 기준이 더 이상 신뢰하기 어렵다는 걸 보여줍니다. 가장 낮은 기술 수준의 공격자가 평균 16가지 기법을, 가장 높은 수준의 공격자가 평균 20가지를 사용했습니다. 그 차이가 미미합니다. Claude Code, API, 채팅 인터페이스 같은 사용 도구도 위험도와 상관관계가 없었습니다. AI가 기술적으로 복잡한 작업을 대신 처리해주기 때문에, 공격자의 실력과 구사하는 기법의 수 사이에 연결고리가 끊어진 것입니다.

그렇다면 지금 당장 유효한 차별 신호는 무엇일까요? 공격 사이클의 어느 지점에 AI를 집중 투입하느냐입니다. 고위험 공격자는 실시간 판단이 필요하고 많은 시간이 드는 기법들(계정 발견, 네트워크 내부 이동, 권한 상승 등)에 AI를 쓰는 경향을 보였습니다. 하지만 앞서 살펴봤듯, 이 영역으로 진입하는 공격자 수 자체가 빠르게 늘고 있어 이 신호도 오래가지 않을 수 있습니다.

가장 내구성 있는 구분 지점은 모델 주변에 어떤 구조를 구축하느냐입니다. 고위험 공격자는 AI가 공격의 여러 단계를 연쇄적으로 수행하고, 인간 개입 없이 실행할 수 있는 아키텍처를 설계합니다.

MITRE ATT&CK가 포착하지 못하는 것

MITRE ATT&CK는 공격자들이 사용하는 전술과 기법을 정리한 데이터베이스로, 보안 업계에서 오래 사용해온 기준 프레임워크입니다. 그런데 Anthropic은 이 프레임워크가 AI 에이전트형 공격의 핵심 특성을 담지 못한다고 지적합니다.

Anthropic이 2025년 11월에 차단한 국가 후원 사이버 스파이 작전이 좋은 예입니다. 당시 악성 행위자는 Claude Code를 조작해 전 세계 타깃을 침투하려 했고, 사람의 개입은 극히 제한적이었습니다. MITRE ATT&CK로 매핑하면 13개 전술에 걸쳐 30개 기법이 나옵니다. 숫자만 보면 중간 위험 수준의 공격자와 비슷합니다. 하지만 Anthropic의 자체 위험 스코어링에서는 최고 점수인 100점이 나왔습니다.

이 공격에서 모델은 자율 에이전트처럼 작동했습니다. 명령을 실행하고, 취약점을 공략하고, 자격 증명을 탈취하고, 전술적 판단을 내리는 모든 과정을 거의 혼자 처리했습니다. 이런 ‘에이전트형 오케스트레이션’에 해당하는 ATT&CK ID는 없습니다. AI 에이전트가 발전할수록 이런 공격 양식은 더 늘어날 텐데, 프레임워크가 그걸 잡아내지 못하는 상황입니다.

Anthropic의 대응, 그리고 남은 과제

이번 분석은 AI가 사이버 공격에 가져온 변화를 세 가지로 정리합니다. 공격자가 더 위험해졌고, 위험도를 가늠하는 기존 신호가 흐려졌으며, 오랫동안 업계 표준으로 쓰인 보안 프레임워크가 이 변화를 제대로 담지 못하고 있다는 것입니다.

Anthropic은 이 분석 결과를 바탕으로 악성코드 개발이나 대량 데이터 유출 같은 활동을 탐지하고 차단하는 사이버 안전장치를 모델에 적용했다고 밝혔습니다. MITRE와는 ATT&CK 프레임워크를 AI 활용 공격에 맞게 발전시키는 방안을 논의 중입니다. 공격자와 방어자 모두 같은 도구를 손에 쥔 지금, 어느 쪽이 먼저 프레임워크를 갱신하느냐가 관건입니다.

공격 사례의 인터랙티브 시각화는 Anthropic Red Team 블로그에서 확인할 수 있습니다.