구글 “국가 지원 해킹조직이 AI로 제로데이 공격을 산업화하고 있다”

• 구글이 AI를 활용한 대규모 사이버 공격 준비를 실제 공격 전에 차단했다고 밝힘

  • 구글 위협인텔리전스 그룹은 AI로 개발된 것으로 추정되는 제로데이 공격을 처음 확인했다고 설명함
  • 해당 공격은 대규모 악용을 목적으로 준비 중이었지만, 구글의 선제 탐지와 대응으로 실제 공격 이전에 차단된 것으로 판단된다고 함

• 공격자는 인기 있는 오픈소스 웹 기반 시스템 관리 도구의 2단계 인증 우회를 노린 것으로 분석됨

  • 제로데이는 보안 패치가 나오기 전의 알려지지 않은 취약점을 노리는 공격이라 성공하면 피해가 넓게 퍼질 수 있음
  • 이번 사례에서는 취약점 탐지와 익스플로잇 개발 과정에 AI 모델이 활용됐을 가능성이 높다고 GTIG가 봤음

• 구글은 북한과 중국 연계 위협 행위자들이 AI를 취약점 연구의 핵심 도구로 쓰고 있다고 경고함

  • 전문가 페르소나를 가장한 프롬프트 입력을 실험하고 있다고 밝힘
  • 고품질 보안 데이터셋 결합, 자동화된 대량 분석 기법도 적극적으로 시도 중이라고 함
  • 국가 지원 해킹 조직의 AI 활용이 빠르게 고도화되고 있다는 게 보고서의 메시지임

• 북한 연계로 알려진 APT45 사례가 특히 구체적으로 언급됨

  • APT45는 AI 모델에 수천 건의 프롬프트를 반복 전송하며 다수의 보안 취약점을 동시에 분석한 정황이 포착됐음
  • 공격 코드의 실행 가능성을 자동 검증하는 방식으로 연구를 진행한 것으로 보인다고 함
  • 구글은 이를 AI를 통해 공격 준비 과정을 산업화·대규모화하는 사례로 평가했음

• 생성형 AI가 쓰이는 공격 영역도 점점 넓어지고 있음

  • 제로데이 취약점 탐지, 악성코드 자동 생성, 탐지 회피용 코드 변형이 언급됨
  • 대규모 피싱과 정보전 콘텐츠 제작에도 활용되며 공격 속도와 규모가 동시에 확대되고 있다는 경고가 나옴

• 보안 업계는 AI 기반 사이버 위협이 실험 단계를 넘어 실전·상용 단계로 들어섰다고 보고 있음

  • 국가 지원 해킹 조직을 중심으로 AI 에이전트 기반 자동화 공격이 확산되는 흐름이 언급됨
  • 대량 프롬프트를 활용한 취약점 스캐닝도 빠르게 늘고 있다고 분석됨
  • AI 모델 접근을 우회하거나 은폐하기 위한 계정 풀링과 프록시 인프라 구축도 확산 중이라고 함

• 이 흐름이 계속되면 중소 조직과 공공기관이 더 위험해질 수 있음

  • 저비용·고효율 공격이 가능해지면 대형 기업뿐 아니라 방어 인력이 부족한 조직이 더 자주 표적이 될 수 있음
  • 공격자가 취약점 탐색과 콘텐츠 제작을 자동화하면 방어자는 패치 관리, 계정 보호, 탐지 룰 업데이트를 더 자주 점검해야 함

• 구글은 방어 쪽에서도 AI를 활용하겠다고 밝힘

  • 악성 계정을 차단하고 소프트웨어 취약점을 식별하며 자동 수정하는 선제 조치를 해 나가고 있다고 설명함
  • 결국 공격자와 방어자 모두 AI를 쓰는 구도가 됐고, 보안 운영의 기본 속도가 올라가는 중임

---

기술 맥락

• 이번 기사에서 중요한 변화는 공격자가 AI를 ‘검색 도우미’ 정도로 쓰는 단계가 아니라는 점이에요. 취약점 후보를 대량으로 훑고, 익스플로잇 가능성을 확인하고, 변형까지 반복하는 작업에 AI를 붙이면 공격 준비 비용이 크게 내려가거든요.

• 제로데이 공격은 패치가 없거나 방어자가 아직 모르는 취약점을 노리기 때문에 탐지가 늦으면 피해가 커져요. 구글이 실제 공격 전에 차단했다는 점을 강조한 이유도, 대규모 악용으로 넘어가기 전의 짧은 구간이 방어의 승부처라서예요.

• APT45 사례에서 수천 건의 프롬프트가 언급된 건 단순한 숫자 이상의 의미가 있어요. 사람이 하나씩 분석하던 취약점 연구를 병렬·반복 작업으로 바꾸면, 공격 조직의 생산성이 올라가고 더 작은 표적까지 경제성이 생겨요.

• 방어팀 입장에서는 AI 공격을 막는 별도 마법 같은 제품보다 기본 운영 속도가 중요해져요. 2FA 우회, 오픈소스 관리 도구 취약점, 계정 풀링, 프록시 인프라 같은 흔한 접점이 자동화 공격의 입구가 되기 때문이에요.