JADEPUFFER는 Sysdig가 보고한 에이전틱 랜섬웨어 사례다. The Decoder 보도에 따르면 공격자는 Langflow의 알려진 취약점(CVE-2025-3248)을 악용해 서버에 진입하고, 자격증명을 수집하고, MySQL 데이터베이스를 찾아 암호화·삭제하는 과정을 AI 에이전트처럼 자동으로 연결했다.
사건의 핵심
이 사례가 중요한 이유는 공격 기법이 새로워서가 아니다. 취약점 미패치, 기본 비밀번호, 노출된 비밀, 넓은 권한 같은 오래된 문제가 에이전트 속도로 연결됐다는 점이 중요하다.
| 단계 | 관찰된 내용 |
|---|---|
| 초기 진입 | Langflow의 CVE-2025-3248 취약점 악용 |
| 확장 | 자격증명 수집과 지속 접근 설정 |
| 목표 | 별도 프로덕션 서버의 MySQL 데이터베이스 |
| 실행 | 1,342개 설정 항목 암호화 및 원본 테이블 삭제 |
| 이상 신호 | 실패한 관리자 계정 생성을 31초 뒤 수정 명령으로 재시도 |
보고서에서 특히 주목한 부분은 실패 복구 속도다. 공격 에이전트는 관리자 계정 생성에 실패한 뒤 31초 만에 오류를 진단하고 잘못 만든 계정을 삭제한 뒤 새 계정을 만들었다고 한다. 코드에 자연어 주석이 들어간 점도 AI 생성 코드의 흔적으로 언급됐다.
보안 시사점
JADEPUFFER는 “AI가 새로운 취약점을 발명했다”는 이야기가 아니다. 더 현실적인 교훈은 기존 보안 부채가 자동화된 의사결정과 결합될 때 피해 속도가 빨라진다는 점이다.
- 알려진 취약점은 패치 지연 자체가 공격 표면이 된다.
- 기본 비밀번호와 장기 자격증명은 에이전트가 다음 단계로 이동하는 연료가 된다.
- 권한이 넓은 세션은 자동화된 공격에서 피해 반경을 키운다.
- 사후 로그 분석만으로는 충분하지 않고, 활성 세션 중 이상 행동을 탐지해야 한다.
- 랜섬웨어가 완성도 높은 운영자가 아니라 불완전한 모델 출력으로 실행될 수 있으므로, 복구 가능성도 더 낮아질 수 있다.
방어 체크포인트
| 영역 | 대응 |
|---|---|
| 취약점 관리 | CISA KEV 같은 actively exploited 목록을 우선 패치 큐로 운영 |
| 자격증명 | 기본 비밀번호 제거, vault 기반 저장, 짧은 수명 토큰, 정기 회전 |
| 권한 | 작업 단위 최소 권한과 JIT privileged access |
| 세션 감시 | DB 계정 생성, 대량 암호화, 테이블 삭제 같은 행동을 실시간 탐지 |
| 에이전트 노출면 | Langflow 등 AI 앱 빌더를 인터넷에 직접 노출하지 않고 네트워크·인증 계층으로 보호 |
한계
The Decoder 보도는 Sysdig 분석에 근거하며, 피해자·수사기관·다른 보안 업체의 독립 확인은 아직 제한적이라고 밝힌다. 따라서 JADEPUFFER는 확정된 보안 교과서라기보다, 자동화된 침해 운영이 어떤 방향으로 진화할 수 있는지 보여주는 조기 경고 사례로 읽는 편이 적절하다.
관련 문서
- ai-agent-security-tips-docker-sandbox — AI 에이전트 실행 환경 격리 전략
- agent-sandboxing-tips-brain-hands — 에이전트 본체와 코드 실행 샌드박스를 분리하기
- cybersecurity-evals — AI 에이전트 보안 능력을 측정하는 벤치마크 설계 패턴
참고 자료
- JADEPUFFER is the first agentic ransomware operation — The Decoder (2026-07-07)