해커가 AI로 제로데이 공격 코드를 만들고 2단계 인증 우회까지 노렸다

• 구글 위협 인텔리전스 그룹이 꽤 상징적인 사례를 공개함

  • 통제된 실험 환경이 아니라 실제 사이버 공격에서 AI가 제로데이 익스플로잇 코드 생성에 쓰인 정황을 확인했다는 내용임
  • 공격 대상은 인기 있는 오픈소스 코드 관리 도구로 소개됨
  • 이 도구에는 2단계 인증(2FA)이 적용돼 있었지만, 공격자는 인증 처리 방식의 빈틈을 노린 것으로 설명됨

• 여기서 중요한 건 “AI가 코딩 보조를 했다” 수준이 아니라는 점임

  • 예전에는 AI가 스크립트 작성, 데이터 분석, 취약점 설명 같은 보조 역할로 주로 이야기됐음
  • 이번 사례에서는 알려지지 않은 취약점을 악용하는 완성형 코드 생성에 AI가 쓰인 것으로 제시됨
  • 공격 자동화가 한 단계 올라갔다는 얘기라, 보안팀 입장에서는 꽤 불편한 신호임

• 전문가들은 공격 코드에서 AI 생성 흔적을 봤다고 설명함

  • 주석이 교육 자료처럼 길고 자세했음
  • 코드 구조가 논리적으로는 맞지만, 사람이 짠 코드라고 보기엔 지나치게 매끈한 부분이 있었다고 함
  • 표준 시스템에는 없는 심각도 점수(CVSS)를 스스로 붙이는 식의 허구적 디테일도 발견됨
  • 이런 흔적들이 사람이 처음부터 직접 작성한 코드가 아닐 가능성을 높이는 근거로 제시됨

• 2단계 인증은 여전히 중요하지만, 이제 “최후의 방어선”처럼 믿기엔 부족함

  • 비밀번호가 유출돼도 OTP나 물리 보안키가 있으면 접근을 막을 수 있다는 게 2FA의 기본 가정임
  • 하지만 실제 서비스에서는 인증 전후의 세션 처리, 권한 체크, 예외 흐름, 리다이렉트 같은 주변 로직이 함께 움직임
  • AI가 시스템 동작을 분석해 이런 주변부의 논리적 결함을 찾으면, 2FA를 직접 깨지 않고도 우회 경로를 만들 수 있음

• 공격 속도 자체가 달라질 수 있다는 경고도 나옴

  • 예전에는 취약점 탐지부터 익스플로잇 작성까지 몇 주나 몇 달이 걸릴 수 있었음
  • AI를 쓰면 이 과정이 몇 시간 단위로 줄어들 수 있다는 게 전문가들의 우려임
  • 특히 오픈소스 소프트웨어를 쓰는 기업은 패치, 설정 검토, 보안 테스트를 미루면 위험 노출 시간이 길어짐

• 그렇다고 결론이 “AI 때문에 끝났다”는 건 아님

  • 같은 AI 기술은 방어 측에서도 취약점 탐지, 로그 분석, 패치 우선순위 판단에 쓸 수 있음
  • 관건은 공격자와 방어자 중 누가 더 빨리, 더 잘 활용하느냐임
  • 기업에는 강화된 다중 인증(MFA), 비정상 행동 모니터링, 제로 트러스트 모델 도입이 권고됨

---

기술 맥락

• 이 사례에서 봐야 할 건 AI가 보안 체계를 갑자기 전부 무너뜨렸다는 이야기가 아니에요. 기존에도 있던 인증 구현의 빈틈을 AI가 더 빠르게 찾아내고, 공격 코드로 연결하는 시간이 줄었다는 게 핵심이에요.

• 2단계 인증은 여전히 효과적인 방어 수단이에요. 다만 실제 서비스에서는 로그인, 세션 발급, 권한 상승, 리다이렉트, API 호출 순서가 얽혀 있어서 MFA 바깥쪽 로직이 약하면 우회 가능성이 생겨요.

• 제로 트러스트가 같이 언급되는 이유도 여기에 있어요. 로그인 성공 여부만 믿지 않고 사용자의 행동, 기기 상태, 접근 위치, 요청 패턴을 계속 검증해야 AI 기반 자동 공격을 늦출 수 있거든요.

• 개발팀 입장에서는 인증 기능을 붙였는지보다 인증 흐름 전체를 테스트했는지가 더 중요해져요. 특히 예외 처리, 만료된 토큰, 재인증 흐름, 관리자 기능 접근 같은 지점은 AI가 반복적으로 파고들기 쉬운 표면이에요.