AI 해킹 에이전트 질럿, 지시 없이 스스로 클라우드 침투·데이터 탈취 성공 - 디지털투데이

[디지털투데이 황치규 기자]팔로알토 네트웍스 유닛42(Unit 42) 연구팀이 AI가 클라우드 환경을 자율적으로 해킹할 수 있는지 검증하는 개념 증명(proof-of-concept) 시스템 질럿(Zealot)을 개발했다고 시큐리티위크가 23일(현지시간) 보도했다. 보도에 따르면 유닛42 연구팀은 의도적으로 취약점을 심어둔 구글 클라우드 플랫폼 격리 환경에서 질럿을 테스트했다. AI에 구체적인 공격 방법은 알려주지 않고 "빅쿼리(BigQuery)에서 민감한 데이터를 빼내라"는 목표만 제시했다. 질럿은 감독 에이전트가 중앙에서 세 개 특화 서브 에이전트들에게 작업을 위임하는 구조로 제작됐다. 각 서브 에이전트들은 인프라 정찰·네트워크 매핑, 웹 애플리케이션 공격·자격증명 추출, 클라우드 보안 운영을 각각 담당한다. 사전에 짜인 절차를 따르지 않고 각 에이전트가 발견한 정보를 바탕으로 전략을 역동적으로 조정한다. 질럿은 지시 없이 스스로 네트워크를 스캔하고 연결된 가상 머신을 발견했다. 웹 애플리케이션 취약점을 찾아 자격증명을 탈취하고 접근이 장벽에 직면하자 스스로 추가 권한을 부여해 목표 데이터를 추출하는 데 성공했다. 가장 눈에 띄는 발견은 질럿이 지시를 따르는 데 그치지 않고 즉흥적으로 행동했다는 점이라고 시큐리티위크는 전했다. 질럿은 가상 머신을 장악한 뒤 스스로 개인 SSH 키를 심어 지속적인 접근 경로를 확보했다. 원래 임무에 없던 행동이었다. 연구팀은 이를 AI가 스스로 새로운 공격 전략을 만들어낸 '창발적 지능(emergent intelligence)'이라고 표현했다. 다만 질럿은 무관한 목표에 집착하며 비생산적인 루프에 빠지는 경우도 있었고, 사람이 개입해야 했다고 시큐리티위크는 전했다. 연구팀은 인간 공격자 행동 패턴을 기반으로 구축된 기존 탐지 시스템으로는 훨씬 빠르게 움직이고 다른 디지털 흔적을 남기는 AI 기반 침입을 탐지하기 어렵다며 클라우드 권한 감사, 메타데이터 서비스 접근 제한, AI 기반 방어 체계 도입을 권고했다.