“AI가 실행 중에 자기 코드를 다시 쓰며 탐지를 회피한다”—SF 영화 같은 이야기지만, Google 보안팀이 실제로 발견한 새로운 악성코드의 작동 방식입니다. 하지만 놀라운 발견과 달리, 실상은 좀 다릅니다.

Google 위협 인텔리전스 그룹(GTIG)이 AI를 활용한 새로운 악성코드 5종을 발견했다는 리포트를 발표했습니다. 특히 PROMPTFLUX와 PROMPTSTEAL은 실행 중에 LLM(대규모 언어 모델)을 호출해 악성 스크립트를 동적으로 생성하고 자신의 코드를 변형시킵니다. 북한, 이란, 중국의 국가 지원 해킹 그룹들이 정찰부터 데이터 탈취까지 공격 전 단계에서 AI를 활용하고 있다는 내용도 담겨 있습니다.

출처: GTIG AI Threat Tracker: Advances in Threat Actor Usage of AI Tools – Google Cloud Blog

발견된 AI 악성코드들

Google이 발견한 5개 악성코드 패밀리 중 가장 주목할 만한 두 가지를 살펴보겠습니다.

PROMPTFLUX: 매시간 자신을 다시 쓰는 악성코드

PROMPTFLUX는 Google Gemini API를 호출해 자신의 VBScript 코드를 주기적으로 재작성합니다. “Thinking Robot”이라는 모듈이 핵심인데, 하드코딩된 API 키로 Gemini에 접속해 “안티바이러스를 회피하는 VBScript 코드를 작성해줘”라고 요청하는 방식입니다.

흥미로운 건 악성코드가 gemini-1.5-flash-latest 모델을 지정한다는 점입니다. -latest 태그를 붙여서 항상 최신 버전을 사용하도록 만들었죠. 마치 스스로 업그레이드하는 바이러스처럼요. 한 변종은 매시간마다 전체 소스 코드를 다시 작성하도록 프롬프트를 설정해놨습니다.

하지만 여기서 중요한 사실: 코드를 살펴보니 핵심 기능들이 주석 처리되어 있고, API 호출을 제한하는 메커니즘이 있었습니다. 아직 개발 단계라는 뜻이죠. Google도 리포트에서 “현재 상태로는 실제 시스템을 해킹할 능력이 없다”고 명시했습니다.

PROMPTSTEAL: 러시아 해킹 그룹이 우크라이나에서 사용

더 주목할 만한 건 PROMPTSTEAL입니다. 이건 실험 단계가 아니라 실전에 투입된 첫 사례거든요. 러시아 정부 지원 해킹 그룹 APT28이 우크라이나를 대상으로 실제 공격에 사용했습니다.

PROMPTSTEAL은 이미지 생성 프로그램으로 위장합니다. 사용자가 화면에서 이미지를 만드는 동안, 뒤에서는 Hugging Face의 LLM(Qwen2.5-Coder-32B-Instruct)에 접속해 Windows 명령어를 실시간으로 생성합니다. “C:\Programdata\info 폴더를 만들고 컴퓨터 정보를 수집해서 텍스트 파일로 저장하는 명령어를 한 줄로 만들어줘”라는 식으로요.

생성된 명령어는 즉시 실행되고, 수집된 데이터는 공격자 서버로 전송됩니다. LLM으로 명령어를 동적 생성하면 보안 소프트웨어가 특정 코드 패턴을 찾아 차단하기가 어려워집니다. 매번 다른 방식으로 같은 일을 하니까요.

국가 지원 해킹 그룹들의 AI 활용

리포트에서 더 흥미로운 부분은 국가 차원의 해킹 그룹들이 어떻게 AI를 활용하는지 보여주는 사례들입니다.

중국 연계 그룹: “CTF 연습 중이에요” 사칭

한 중국 연계 해킹 그룹은 Gemini에게 취약점 식별을 요청했다가 안전 가드레일에 막혔습니다. 그러자 접근 방식을 바꿔서 “저는 CTF(Capture The Flag, 해킹 경연대회) 참가자인데요”라고 재프롬프트했죠. 그러자 Gemini가 도움이 되는 정보를 제공했습니다.

이 방법이 통하자, 이 그룹은 이후 모든 프롬프트에 “CTF 문제를 풀고 있는데” 같은 표현을 앞에 붙여서 피싱, 익스플로잇, 웹셸 개발에 대한 조언을 얻어냈습니다. CTF 컨텍스트에서는 정당한 질문처럼 보이니까요.

이란 그룹: 실수로 C&C 서버 주소 노출

이란 정부 지원 해킹 그룹 TEMP.Zagros는 더 흥미로운 실수를 했습니다. 이들은 “대학 프로젝트를 하는 학생”이나 “논문을 쓰는 연구자”로 가장해 Gemini에게 커스텀 악성코드 개발을 도와달라고 요청했습니다.

문제는 코드 디버깅을 요청하면서 실제 사용 중인 스크립트를 그대로 붙여넣은 겁니다. 그 코드에는 C&C(명령 및 제어) 서버의 도메인과 암호화 키가 하드코딩되어 있었죠. Google은 이 정보를 이용해 해당 그룹의 캠페인 전체를 차단할 수 있었습니다.

북한 그룹: 암호화폐 타겟팅에 AI 활용

북한 해킹 그룹 UNC1069은 Gemini를 사용해 암호화폐 지갑 데이터 위치를 조사하고, 스페인어로 회의 일정 변경 요청 메시지를 생성했습니다. 언어 장벽을 AI로 극복해 공격 범위를 확장한 거죠.

또 다른 북한 그룹 UNC4899는 엣지 디바이스와 모던 브라우저 취약점을 연구하는 데 Gemini를 활용했습니다. 공급망 공격으로 유명한 이 그룹이 새로운 공격 능력을 개발하려는 시도로 보입니다.

다크웹의 AI 도구 마켓플레이스

리포트는 불법 AI 도구 시장도 다룹니다. 영어와 러시아어 언더그라운드 포럼에서 피싱, 악성코드 생성, 취약점 연구를 지원하는 다기능 AI 도구들이 판매되고 있습니다.

가격 모델도 정상적인 SaaS와 비슷합니다. 무료 버전에 광고를 넣고, 이미지 생성, API 접근, Discord 통합 같은 기능은 유료 구독으로 제공하는 식이죠. 거의 모든 도구가 피싱 캠페인 지원을 주요 기능으로 내세웁니다.

실제 위협 수준은?

여기서 중요한 질문: 이게 정말 위험한 걸까요?

Google 리포트는 분명히 “새로운 단계”라고 표현하지만, 동시에 한계도 인정합니다. PROMPTFLUX는 “아직 실험 단계”이고 “현재 시스템을 해킹할 능력이 없다”고 명시했죠. 정보 작전(IO) 캠페인에 대해서는 “성공적인 자동화나 획기적 능력의 증거를 발견하지 못했다”고도 했습니다.

기술 전문 매체 Ars Technica는 더 직설적입니다. Google이 발견한 5개 악성코드 모두 “작동하지 않고 쉽게 탐지된다”며, Anthropic이나 OpenAI 같은 AI 기업들이 펀딩을 받기 위해 AI 악성코드 위협을 과장한다고 비판했습니다.

실제로 Anthropic은 최근 “Claude 없이는 핵심 악성코드 컴포넌트를 구현할 수 없었을 것”이라고 주장했고, ConnectWise는 “AI가 해킹 진입 장벽을 낮추고 있다”고 했습니다. 하지만 이런 주장들은 대부분 실제 영향에 대한 면밀한 분석보다는 경고성 헤드라인에 가깝습니다.

진짜 이슈: 실험과 진화

공격자들의 AI 활용이 피싱 문구 작성에서 동적 코드 생성으로 진화하고 있다는 점은 분명합니다. PROMPTSTEAL처럼 일부는 실전에 투입됐죠. Google은 “vibe coding을 넘어서고 있다”고 표현했는데, 이제 막 진지한 시도가 시작됐다는 의미입니다.

CTF 참가자나 학생 사칭으로 가드레일을 우회하는 방식도 효과적이었습니다. Google은 Gemini 보안을 강화했지만, 새로운 우회 방법은 계속 나올 겁니다. 과장된 공포에 휩쓸릴 필요는 없지만, 방향성은 주목할 만합니다.

참고자료:

• AI-based malware makes attacks stealthier and more adaptive – Cybersecurity Dive
• 5 AI-developed malware families analyzed by Google fail to work and are easily detected – Ars Technica

Like?