--- title: "해커가 AI로 제로데이 공격 코드를 만들고 2단계 인증 우회까지 노렸다" published: 2026-05-16T03:05:03.449Z canonical: https://jeff.news/article/2767 --- # 해커가 AI로 제로데이 공격 코드를 만들고 2단계 인증 우회까지 노렸다 구글 위협 인텔리전스 그룹이 통제된 실험실 밖 실제 공격에서 AI가 제로데이 익스플로잇 코드 생성에 쓰인 사례를 확인했다고 밝혔어. 공격은 인기 오픈소스 코드 관리 도구의 인증 구현 주변부를 노렸고, 2단계 인증 자체보다 그 처리 로직의 빈틈을 파고든 것으로 설명돼. - 구글 위협 인텔리전스 그룹이 꽤 상징적인 사례를 공개함 - 통제된 실험 환경이 아니라 실제 사이버 공격에서 AI가 제로데이 익스플로잇 코드 생성에 쓰인 정황을 확인했다는 내용임 - 공격 대상은 인기 있는 오픈소스 코드 관리 도구로 소개됨 - 이 도구에는 2단계 인증(2FA)이 적용돼 있었지만, 공격자는 인증 처리 방식의 빈틈을 노린 것으로 설명됨 - 여기서 중요한 건 “AI가 코딩 보조를 했다” 수준이 아니라는 점임 - 예전에는 AI가 스크립트 작성, 데이터 분석, 취약점 설명 같은 보조 역할로 주로 이야기됐음 - 이번 사례에서는 알려지지 않은 취약점을 악용하는 완성형 코드 생성에 AI가 쓰인 것으로 제시됨 - 공격 자동화가 한 단계 올라갔다는 얘기라, 보안팀 입장에서는 꽤 불편한 신호임 > [!IMPORTANT] > 이 사건의 핵심은 2단계 인증 자체가 완전히 무력화됐다는 뜻이 아님. AI가 인증 구현 주변의 논리적 결함을 더 빠르게 찾고 공격 경로로 엮을 수 있다는 점이 더 무서운 포인트임. - 전문가들은 공격 코드에서 AI 생성 흔적을 봤다고 설명함 - 주석이 교육 자료처럼 길고 자세했음 - 코드 구조가 논리적으로는 맞지만, 사람이 짠 코드라고 보기엔 지나치게 매끈한 부분이 있었다고 함 - 표준 시스템에는 없는 심각도 점수(CVSS)를 스스로 붙이는 식의 허구적 디테일도 발견됨 - 이런 흔적들이 사람이 처음부터 직접 작성한 코드가 아닐 가능성을 높이는 근거로 제시됨 - 2단계 인증은 여전히 중요하지만, 이제 “최후의 방어선”처럼 믿기엔 부족함 - 비밀번호가 유출돼도 OTP나 물리 보안키가 있으면 접근을 막을 수 있다는 게 2FA의 기본 가정임 - 하지만 실제 서비스에서는 인증 전후의 세션 처리, 권한 체크, 예외 흐름, 리다이렉트 같은 주변 로직이 함께 움직임 - AI가 시스템 동작을 분석해 이런 주변부의 논리적 결함을 찾으면, 2FA를 직접 깨지 않고도 우회 경로를 만들 수 있음 - 공격 속도 자체가 달라질 수 있다는 경고도 나옴 - 예전에는 취약점 탐지부터 익스플로잇 작성까지 몇 주나 몇 달이 걸릴 수 있었음 - AI를 쓰면 이 과정이 몇 시간 단위로 줄어들 수 있다는 게 전문가들의 우려임 - 특히 오픈소스 소프트웨어를 쓰는 기업은 패치, 설정 검토, 보안 테스트를 미루면 위험 노출 시간이 길어짐 - 그렇다고 결론이 “AI 때문에 끝났다”는 건 아님 - 같은 AI 기술은 방어 측에서도 취약점 탐지, 로그 분석, 패치 우선순위 판단에 쓸 수 있음 - 관건은 공격자와 방어자 중 누가 더 빨리, 더 잘 활용하느냐임 - 기업에는 강화된 다중 인증(MFA), 비정상 행동 모니터링, 제로 트러스트 모델 도입이 권고됨 --- ## 기술 맥락 - 이 사례에서 봐야 할 건 AI가 보안 체계를 갑자기 전부 무너뜨렸다는 이야기가 아니에요. 기존에도 있던 인증 구현의 빈틈을 AI가 더 빠르게 찾아내고, 공격 코드로 연결하는 시간이 줄었다는 게 핵심이에요. - 2단계 인증은 여전히 효과적인 방어 수단이에요. 다만 실제 서비스에서는 로그인, 세션 발급, 권한 상승, 리다이렉트, API 호출 순서가 얽혀 있어서 MFA 바깥쪽 로직이 약하면 우회 가능성이 생겨요. - 제로 트러스트가 같이 언급되는 이유도 여기에 있어요. 로그인 성공 여부만 믿지 않고 사용자의 행동, 기기 상태, 접근 위치, 요청 패턴을 계속 검증해야 AI 기반 자동 공격을 늦출 수 있거든요. - 개발팀 입장에서는 인증 기능을 붙였는지보다 인증 흐름 전체를 테스트했는지가 더 중요해져요. 특히 예외 처리, 만료된 토큰, 재인증 흐름, 관리자 기능 접근 같은 지점은 AI가 반복적으로 파고들기 쉬운 표면이에요. ## 핵심 포인트 - AI가 알려지지 않은 취약점을 악용하는 완성형 공격 코드 생성에 쓰인 사례로 제시됨 - 공격 코드는 지나치게 교육 자료 같은 주석과 허구적 세부 정보 등 AI 생성 흔적을 보였음 - 2단계 인증 자체가 깨졌다기보다 인증 구현 주변의 논리적 결함이 공격 경로가 됨 - 취약점 탐지부터 공격 실행까지 걸리는 시간이 몇 주나 몇 달에서 몇 시간 단위로 줄 수 있다는 경고가 나옴 ## 인사이트 이 기사의 포인트는 ‘2FA 끝났다’가 아니라, AI가 인증 우회 경로를 찾는 속도와 자동화 수준을 끌어올린다는 쪽에 있어. 개발팀 입장에서는 MFA 도입 여부보다 인증 플로우 전체의 위협 모델링과 이상행동 탐지가 더 중요해지는 흐름이야.