Wiz '클라우드 위협 2026' — AI가 바꾼 건 공격 종류가 아니라 확산 속도, 기본 취약점이 여전히 최대 위협

• 클라우드 보안 기업 Wiz가 발표한 '클라우드 위협 2026' 보고서 — 2025년 한 해 클라우드 침해사고를 분석한 결과
  • 결론은 "새로운 공격 기법이 아니라 오래된 기본 취약점이 여전히 가장 큰 위협"
  • AI는 새로운 공격을 만든 게 아니라 기존 공격을 더 빠르고 더 넓게 퍼뜨리는 역할을 했음

2025년 초기 진입 경로 TOP 5

• 취약점 악용 40% — 가장 큰 비중
• 노출된 시크릿 21% — API 키, 토큰, 자격증명
• 설정 오류 19%
• 최종 사용자 침해 13%
• 공급망 침해 7%
• 모니터링 환경에서 초기 탐지의 53%가 정찰·탐색 관련 기법 — 방어자가 피해 전 공격을 포착할 수 있는 구간

신뢰 관계가 폭발 반경을 키운 해

• 2025년 특징은 생태계 전체에 영향을 미치는 시스템적 약점
  • 패키지 저장소, 인터넷 노출 취약점, 공유 CI/CD 도구, 자동화 워크플로, 특권 계정이 결합되면 폭발 반경이 기하급수적으로 커짐

대표 사례

• 샤이 훌루드(Shai Hulud) — npm 공급망 공격의 전형
  • 널리 쓰이는 npm 패키지 손상 → 설치 시 사전 실행 스크립트 실행 → 개발자 워크스테이션에서 시크릿 수집
  • 탈취한 GitHub PAT로 저장소 접근 → 브랜치·설정·권한 변경 → CI/CD 워크플로에 악성 행위 심기 → 운영 환경·클라우드 자격증명까지 오염
• s1ngularity — 공유 도구·자동화 체계를 노린 공격
  • 피해 조직들은 각자 다른 실수를 해서 당한 게 아님 — 같은 도구, 같은 연동 방식을 썼기 때문에 함께 노출됨
• 리액트투쉘(React2Shell, CVE-2025-55182) — 인터넷 노출 제로데이의 파괴력을 보여준 사례
  • 공개 후 PoC가 나오자 수시간 만에 수십 개 악용 캠페인 포착
  • 일주일 안에 60개 넘는 캠페인이 이 취약점 악용
  • 악용 목적 — 가상화폐 채굴 40%, 백도어 설치 21%, 자격증명 유출 18%

GitHub PAT / OAuth 토큰 악용 가속

• 탈취되거나 권한이 과도한 GitHub PAT로 저장소·CI 워크플로·연결된 클라우드까지 접근
• 탈취한 OAuth 토큰과 API 자격증명으로 SaaS 플랫폼과 연결된 클라우드 서비스 접근 — 새 취약점 없이도 정상 인증 경로로 내부 침투

AI가 실제로 한 일

• Wiz 2025년 초 조사 — 85% 이상 조직이 AI 사용 중, 2024년 말 조사에서도 87% 이상
• 문제는 보안 통제가 못 따라감
  • 25%는 자기 환경에서 어떤 AI 서비스가 돌아가는지 모름
  • 31%는 AI 보안 전문성 부족을 가장 큰 과제로 꼽음
  • AI 전용 보안 태세 관리(AI-SPM) 사용 비율은 13%에 불과
• 포브스 AI 50 기업 중 65%가 GitHub에 검증된 시크릿 노출 상태 — API 키, 토큰, 자격증명 포함
• 실제 공격 사례
  • 레임허그(LameHug) 악성코드 — 외부 LLM에 프롬프트 보내 감염 장비에서 실행할 정찰·정보수집 명령을 동적으로 생성
  • s1ngularity 사고에서 클로드, 제미나이, Q 같은 AI 명령줄 도구가 정찰·자격증명 수집에 활용된 정황
  • 레이(Ray) 클러스터를 노린 가상화폐 채굴 — AI 오케스트레이션 표면이 실제 공격 대상이 됨

Wiz가 제시한 방어 전략

• 외부 노출 자산의 노출 면적 축소 — 인터넷에서 닿을 수 있는 자산과 실제 악용 가능한 위험을 우선 파악
• 공격 전 정찰 활동을 탐지 기회로 — 스캔, 디스커버리, 비정상 정보 수집은 지속적 접근권한 확보 전에 잡을 수 있는 신호
• 접근 이후에는 계정 변경·권한 상승·API 활동·제어 평면 이상행위 감시
• 공급망·신뢰 관계 폭발 반경 축소 — 패키지, CI, SaaS 연동, 자동화 워크플로가 어디까지 연결되는지 가시화
• AI 워크로드·파이프라인을 자산 목록에 포함하고 운영 환경 수준의 접근통제·모니터링 적용

---

기술 맥락

샤이 훌루드 같은 npm 공급망 공격이 왜 파괴적인지부터 풀어볼게요. npm 생태계는 의존성 트리가 엄청나게 깊어서, 한 개 인기 패키지를 오염시키면 그걸 직접 쓰지 않는 수천 개 프로젝트까지 연쇄 감염되거든요. 특히 설치 시 자동 실행되는 postinstall 스크립트는 사용자가 의식하지 못하는 사이에 코드가 돌아가서, 개발자 로컬 환경의 .env 파일이나 .aws 자격증명이 그대로 털려나가요.

GitHub PAT(Personal Access Token) 악용이 반복되는 이유도 봐야 해요. 많은 개발자가 '전체 저장소 읽기' 같은 넓은 권한으로 토큰을 발급하고, 그걸 로컬 개발 환경이나 CI 시크릿에 저장해 두는데, 이게 털리면 저장소 수정 → CI에 악성 코드 주입 → 프로덕션 배포까지 한 번에 넘어가요. 최근 GitHub가 fine-grained PAT를 밀고 있지만 아직 레거시 classic token이 더 많이 쓰여요.

AI-SPM(AI Security Posture Management)이라는 새로운 카테고리가 생긴 맥락도 흥미로워요. 기존 CSPM이 클라우드 설정·권한을 관리하는 도구라면, AI-SPM은 "우리 조직이 어떤 AI 모델을 어디서 쓰고 있고, 어떤 API 키가 어떤 파이프라인에 연결돼 있는지"를 가시화하는 도구예요. 13%만 쓴다는 게 문제인 게, AI 도입 속도에 보안 가시성이 한참 뒤처진다는 뜻이거든요.

레임허그가 LLM을 런타임에 호출해서 명령을 동적 생성한 패턴도 주목할 만해요. 기존 악성코드는 하드코딩된 행동 패턴 때문에 YARA 시그니처로 잡혔는데, LLM을 거치면 매번 다른 명령이 나와서 시그니처 기반 탐지를 우회해요. 공격자가 LLM을 이렇게 쓰기 시작하면 방어도 근본적으로 달라져야 해요.