앤트로픽 “사이버 공격은 이미 AI로 자동화되고 있다”

AI 기업 앤트로픽이 보안 커뮤니티가 AI를 활용한 사이버 공격에 얼마나 취약한지 파악하기 위해 조사를 실시한 결과 사이버 공격은 이미 AI로 자동화되고 있다는 사실이 밝혀졌다.

앤트로픽은 2025년 3월부터 2026년 3월까지 1년간 사이버 공격에 활용을 이유로 이용 정지 조치를 내린 832개 계정을 조사해 공격자가 사용하는 전술과 기술 데이터베이스인 마이터 어택(MITRE ATT&CK)에 맵핑했다. 조사 기간 중 사이버 공격을 이유로 정지 처분을 받은 계정은 방대한 수에 달하며 832개는 이 중 일부에 불과하다. 다만 앤트로픽은 이 일부 계정만으로도 공격자 기술을 평가하기에 충분히 상세한 정보를 얻을 수 있었다고 설명했다.

조사 결과 앤트로픽은 3가지 결론을 도출했다. 첫째 사이버 공격자의 AI 활용, 단순 공격에서 복잡한 공격으로 이동 중이라는 것. 앤트로픽 데이터베이스에서 가장 일반적인 AI를 활용한 사이버 공격 관련 활동은 악성 코드 제작 등 사이버 공격 준비 단계에 관련된 것이었다. 조사 대상 832개 계정 중 560개(67.3%)가 사이버 공격 준비에 AI를 사용하고 있는 것으로 나타났다. 더 복잡한 활동에 AI를 활용하는 공격자는 소수에 그쳤다. 예를 들어 832개 공격자 계정 중 54개(6.5%)만이 침해된 네트워크 내부로 깊숙이 이동하는 데 AI를 사용했다.

앤트로픽은 또 AI가 공격자 위협 수준을 높이는 데 활용되고 있다는 증거도 발견했다. 분석 대상 기간 첫 6개월간에는 공격자 33%가 앤트로픽 리스크 스코어링 시스템에 의해 중간 위험 이상으로 분류됐지만 다음 6개월간에는 그 비율이 56%로 급등했다.

조사 기간 전반에 걸쳐 공격자의 AI 활용은 시스템 초기 접근권 확보를 위한 수법에서 시스템 내부 침투 이후 실행되는 활동으로 이동했다. 예를 들어 침해된 환경 내에서 유효한 계정을 식별하는 데 AI를 이용하는 사례는 조사 기간 중 8.9% 증가한 반면 시스템 접근권 확보를 위한 일반 수법인 AI 지원 피싱은 8.6% 감소했다. 이는 공격자가 공격 생명주기 더 깊은 단계에서 AI를 점점 더 활용하게 되고 있다는 걸 시사한다.

이런 시스템 침해 이후 기법은 기존에는 이를 실행할 기술적 지식을 갖춘 공격자에게만 가능했다. 하지만 앤트로픽 조사에 따르면 현시점에서는 그다지 높은 기술력을 갖추지 못한 자도 AI를 이용해 이런 활동을 실행할 수 있게 됐다.

둘째 사이버 공격은 AI로 자동화되고 있으며 고위험 공격자를 식별하는 기존 방법은 효용을 잃어간다는 것. 앤트로픽은 이제까지 공격자가 사용하는 기법 종류, 사용 도구, 인터페이스 등 정보를 기반으로 위험 평가를 실시해왔다. 하지만 앤트로픽은 이런 지표만으로는 특정 위협 행위자 위험 수준을 정확하게 파악하는 게 더 이상 불가능해지고 있다고 지적한다.

AI가 공격자를 대신해 고도의 기술적 작업을 수행할 수 있게 된 만큼 위협 행위자 숙련도와 사용하는 기법 수 사이에는 거의 상관관계가 없어지고 있는 것으로 보인다. 데이터셋에서 가장 숙련도가 낮은 행위자는 평균 16가지 기법을 사용한 반면 가장 숙련도가 높은 행위자는 20가지 기법을 사용했다. 앤트로픽은 마찬가지로 사용된 클로드 코드, API, 채팅 인터페이스 등 특정 플랫폼도 행위자 위험 수준과는 상관관계가 없었다고 보고했다.

고위험 공격자를 구별하는 데 유효한 지표는 공격 생명주기 어느 단계에서 AI를 이용하느냐는 점이다. 예를 들어 고위험 공격자는 시스템 초기 접근권 확보에 그치는 작업보다, 계정 탐색·수평 이동·권한 상승 등 수행에 많은 시간·모니터링·실시간 의사결정을 필요로 하는 운영적으로 더 까다로운 기법에 AI 활용을 집중시키는 경향이 있다.

고위험 공격자는 사이버 공격 각 단계를 AI 모델로 연결해 최소한의 인적 개입으로 실행할 수 있는 아키텍처를 설계해 나가고 있다.

셋째 기존 평가 기준으로는 AI를 활용하는 공격자의 위험성을 정확히 파악할 수 없다는 것. 가장 위험도가 높은 공격자를 특징짓는 행동 상당수는 AI를 활용해 공격 체인 각 단계를 순서대로 실행하거나 다음에 무엇을 해야 할지를 실시간으로 결정하거나 인간 개입 없이 수행하는 것 등이다. 이런 기법은 마이터 어택 프레임워크 공격 수법에는 아직 포함되어 있지 않다.

2025년 11월 앤트로픽이 저지한 국가 지원 사이버 첩보 작전의 경우 악의적인 공격자가 클로드 코드를 이용해 인간 개입을 거의 필요로 하지 않고 전 세계 표적 시스템에 침투하려 했다. 마이터 어택 프레임워크에 대입해 보면 공격자는 13가지 전술에 걸쳐 30개에 달하는 기법을 사용했으며 이는 앤트로픽 데이터셋에 포함된 많은 중간 위험 공격자와 비슷한 수준이었다. 하지만 앤트로픽은 이 공격자가 사용한 기법 수에 주목하면 실제 위험성을 과소평가하게 된다고 지적했다.

앤트로픽이 저지한 해당 국가 지원 사이버 첩보 작전에서 AI 모델은 자율 에이전트로 기능했다. 명령을 실행하고 취약점을 악용하고 인증 정보를 탈취하고 전술적 의사결정을 수행하며 인간 개입이 필요했던 건 극히 일부 핵심 장면에 불과했다. 이런 에이전트 오케스트레이션에 대응하는 ATT&CK ID는 존재하지 않지만 에이전트 능력이 향상될수록 이러한 행동이 앞으로 더 빈번하게 나타날 것으로 예상된다.

앤트로픽은 최첨단 AI 모델은 공격자와 방어자 모두가 활용할 수 있는 도구를 빠르게 변화시키고 있다며 방어자가 이런 진화하는 전술에 선제적으로 대응할 수 있도록 지원하고 가장 강력한 도구를 먼저 방어자 손에 전달하는 데 최선을 다하고 있다며 앞으로도 AI를 활용한 사이버 보안 강화에 나설 것이라고 설명했다. 관련 내용은 이곳에서 확인할 수 있다.