상용 LLM이 사이버 공격을 어떻게 가속화하는가 — 그리고 방어 체계를 어떻게 설계할 것인가

CoreProse KB-incidents에 최초 게시됨. 상용 대규모 언어 모델 (LLMs)은 이제 레드팀 (red-teams)과 범죄 집단 모두의 핵심 도구로 자리 잡았습니다. 여러분의 엔지니어들이 사용하는 것과 동일한 대화형 API와 코파일럿 (copilots)이 피싱 (phishing), 멀웨어 (malware) 반복 생성, 딥페이크 (deepfake) 스크립트, 그리고 일반적인 어시스턴트 트래픽처럼 보이는 은밀한 C2 (Command and Control)를 위해 스크립트화되고 있습니다.[9][1] ML 및 보안 엔지니어들에게 이는 위협 표면 (threat surface)의 확장을 의미합니다. 여러분은 맞춤형 멀웨어와 수작업으로 제작된 피싱뿐만 아니라, CI/CD, SaaS, 그리고 에이전트 프레임워크 (agent frameworks)에 연결된 고성능 모델의 프로그래밍 가능한 남용에 맞서 방어해야 합니다.[3][9] 💡 멘탈 모델 (Mental model): 내부용이든 외부용이든 모든 상용 LLM을 적대 세력이 여러분을 공격하기 위해 자동화할 수 있는 공유된 사이버 역량으로 취급하십시오. 생성형 이메일 지원 기능을 활성화한 한 핀테크 보안 책임자는 피싱 공격이 갑자기 내부의 어조, 스레드 구성, 캘린더 흐름을 그대로 모방하는 것을 목격했습니다. 기존의 규칙 기반 필터 (rule-based filters)는 이를 놓쳤습니다.[9] 이 기사는 생성형 AI가 어떻게 고전적인 공격을 산업화하는지, 에이전트형 AI (agentic AI)가 어떻게 캠페인 경제를 변화시키는지, 그리고 현재 여러분이 배포할 수 있는 아키텍처는 무엇인지 설명합니다. 1. 틈새 실험에서 산업화된 AI 지원 공격으로 “AI 지원 공격”은 여전히 피싱, 멀웨어, ATO (Account Takeover), 사기에 해당하지만, 새로운 규모와 개인화 기능을 갖추고 있습니다.[9] 이것이 초기 단계의 산업화된 사이버 범죄입니다.

공격자들은 이제 다음과 같은 목적으로 LLM을 사용합니다:[9]

• 어떤 언어로든 역할 및 회사 특화형 피싱(Phishing) 생성
• 코딩 코파일럿(Coding copilots)을 통한 멀웨어(Malware), 드롭퍼(Dropper), 임플란트(Implant) 반복 개선
• 정교한 사회 공학(Social-engineering) 내러티브 및 딥페이크(Deepfake) 스크립트 작성

LLM은 사기 수법을 더 유창하고 문맥에 맞게 만들어, BEC(Business Email Compromise) 및 피싱 전환율을 높입니다:[9]

• 대화 상태 및 어조 유지
• 피해자의 반응 및 반박에 적응
• 대규모로 고유한 유인책(Lures) 생성하여 템플릿 기반 탐지 우회

📊 딥페이크(Deepfake) + LLM 융합 [9]

• 합성 오디오/비디오 "승인"을 위한 스크립트 초안 작성
• 공개된 소스로부터 내부 전문 용어 및 최근 사건과 일치시킴
• 은행/고객 지원의 음성 기반 인증 우회를 도움

LLM은 많은 공격자에게 부족한 언어적 및 사회 공학적 정교함을 제공합니다.[9] 고도화된 위협은 ChatGPT 및 Cursor와 같은 상용 코파일럿(Copilots)을 코드 생성, 리팩토링(Refactoring), 디버깅(Debugging), 그리고 사전 설정 콘텐츠(가짜 웹사이트, 임원 약력, 투자 설명서 등)를 위한 멀웨어 워크플로에 통합합니다.[10] 북한 연계 조직인 "HexagonalRodent"는 AI로 생성된 채용 공고, VS Code 작업, 그리고 BeaverTail, OtterCookie, InvisibleFerret와 같은 새로운 멀웨어 제품군을 사용하여 3개월 동안 1,200만 달러 이상의 금액을 탈취한 것으로 보고되었습니다.[10]

💼 실제 사례 관찰 [10]
사고 대응팀(Incident responders)은 공격자들이 다음과 같은 작업을 수행한 저장소(Repos)를 발견했습니다:

• 디자인 코파일럿(Design copilot)으로 구축된 정교한 "회사" 사이트
• 결점 없는 영어로 작성된 온보딩 문서 및 코딩 테스트
• ChatGPT의 설명처럼 주석이 달린 임플란트(Implant) 코드

이러한 사회적 및 개발자 경험은 마치 실제 팀의 작업처럼 보였으며, 상용 도구를 사용하여 빠르게 구축되었습니다.[10] 방어 측면에서 LLM은 SOC(Security Operations Center)가 텔레메트리(Telemetry)를 요약하고, 로그를 상관 분석하며, 과부하를 줄이는 데 도움을 줍니다.[5] 그러나 동일한 특성으로 인해 공격자의 학습 루프는 단축되고, 정교한 작전을 수행하는 데 필요한 전문 지식의 문턱은 낮아집니다.[5][9] LLM이 수동적인 채팅에서 CI/CD, SaaS 및 독자적인 애플리케이션 내의 임베디드 도구 및 AI 에이전트(AI agents)로 이동함에 따라, 가치는 일회성 프롬프트(Prompt)에서 긴밀한 피드백 루프를 갖춘 계측된 파이프라인(Instrumented pipelines)으로 이동하고 있습니다.[3][11][12] 2.

상용 LLM을 이용한 구체적인 공격 패턴

추상적인 "LLM 오용 (LLM abuse)"이 아니라 실제 워크플로우 관점에서 생각하는 것이 방어 체계를 설계하는 데 도움이 됩니다.

AI 강화 피싱 공장 (AI-enhanced phishing factories)
현대적인 피싱 파이프라인(pipeline)은 일반적으로 다음과 같은 과정을 거칩니다:[9]

• 조직 구조, 역할 및 최근 이벤트를 스크레이핑(Scrapes)합니다.
• 맞춤형 미끼(lures)를 만들기 위해 LLM에 프롬프트(Prompts)를 입력합니다 (시나리오당 수십~수천 개).
• 지리적 위치와 직급에 따라 자동 번역 및 어조(tone)를 조정합니다.
• 각 피해자에게 보낼 동적인 답장을 작성하기 위해 LLM을 다시 사용합니다.

효과:[9]

• 각 이메일이 고유하므로 템플릿/시그니처 필터를 회피합니다.
• 후속 조치 및 스레딩(threading)이 실제 고객/내부 통신을 모방합니다.
• 이메일 스택(Email stacks)에서 "새롭지만 일관된" 메시지들이 길게 나타납니다.
  ⚠️ 영향: 규칙 기반 필터(Rule-based filters)와 정적 휴리스틱(static heuristics)의 성능이 저하되며, 트래픽이 일반적인 비즈니스 이메일처럼 보입니다.

HexagonalRodent의 AI 구조화된 킬 체인 (AI-structured kill chain)
Expel의 HexagonalRodent 추적 사례는 AI로 규모를 키운 공급망 및 개발자 타겟 공격을 보여줍니다:[10]

• LLM에 의해 생성되고 현지화된 고액 연봉 구인 광고
• 악성코드를 실행하는 VS Code 작업으로 구현된 "코드 테스트"
• 가짜 기업 외관: AI로 구축된 웹사이트, 조작된 리더십
• 배포를 위해 침해된 VS Code 확장 프로그램(extension)

LLM은 다음 과정에 참여합니다:[10]

• 구실(Pretext) 작성 (광고, 인사팀 통신, 온보딩)
• 코파일럿(copilots)을 통한 기술적 악성코드 개발
• 피해자 피드백을 통한 미끼 및 문서의 신속한 개선
• 은밀한 C2(Command and Control)로서의 AI 어시스턴트

Check Point Research는 Grok 및 Microsoft Copilot과 같이 웹 기능이 있는 어시스턴트가 은밀한 C2 채널로 악용될 수 있음을 보여주었습니다.[1]
패턴:[1]

• 악성코드가 무해한 질의(예: "이 URL을 요약해줘")를 던집니다.
• URL 콘텐츠는 공격자를 위한 명령을 인코딩(encodes)하고 있습니다.
• 어시스턴트가 이를 가져와서 "해석"하며, 응답을 C2로 전환합니다.
• 유출된 데이터는 이후 어시스턴트를 매개로 한 HTTP 요청 내에 포함되어 돌아옵니다.
  📊 핵심 속성: [1]
• 별도의 커스텀 C2 인프라가 필요 없음; 트래픽은 정상적인 AI 어시스턴트 사용으로 보임.
• 공격자와의 직접적인 연결이 없음; C2가 어시스턴트의 아웃바운드 호출(outbound calls)에 올라탐.
• 종종 명시적인 공격자 API 키가 관여되지 않음.

이는 기업용 AI 어시스턴트 트래픽이 다음과 같은 특성을 갖기 때문에 매우 강력합니다:[1]

• 일단 널리 채택되면 차단하기 어려움
• SIEM/XDR에서 가볍게 모니터링됨 (Lightly instrumented)
• 종종 "신뢰할 수 있는 생산성 트래픽"으로 취급됨
• LLM이 역공학 (Reverse engineering)의 코파일럿 역할을 수행함

양측 모두 LLM을 사용하여 코드/바이너리에서 익스플로잇 (Exploits)으로 가는 간극을 줄입니다:[5][7]

• 대규모 코드베이스를 요약하고 위험한 흐름을 지목함
• 디컴파일 (Decompiled)된 출력물과 크래시 트레이스 (Crash traces)를 설명함
• 의심되는 버그를 테스트하기 위한 PoC 스니펫 (Snippets) 및 하네스 (Harnesses)를 생성함

💡 시사점: 만약 귀사의 코드나 설정이 유출된다면, LLM이 주니어 분석가보다 훨씬 더 빠르게 이를 실행 가능한 공격 계획으로 전환할 수 있다고 가정해야 합니다. 이 모든 공격은 주류 SaaS API와 HTTP 트래픽을 타고 흐르며, 플랫폼의 "정당성"을 상속받습니다. 따라서 IP 평판, 도메인 차단, 프로토콜 전용 탐지만으로는 주요 통제 수단으로서의 효과를 잃게 됩니다.[1][9]

3. 에이전틱 AI (Agentic AI)와 엔드 투 엔드 (End-to-End) 공격의 자동화
   상태가 없는 (Stateless) 채팅에서 에이전틱 AI(Agentic AI)—브라우징을 하고, 도구를 호출하며, 모델 컨텍스트 프로토콜 (Model Context Protocol, MCP)을 사용하고, 메모리를 저장하며 행동하는 LLM—로의 전환은 질적으로 새로운 위험을 창출합니다.[3][11][12]

기존의 프롬프트 인젝션 (Prompt injection)이 단일 답변을 목표로 했다면, 에이전트는 다음과 같은 것을 가능하게 합니다:[12]

• 다단계 프롬프트 인젝션 및 지속적인 메모리 오염 (Memory poisoning)
• 커넥터 (Connectors)를 통한 도구 하이재킹 (Tool hijacking) 및 권한 상승 (Privilege escalation)
• 체인화된 도구와 에이전트 간의 연쇄적인 실패 (Cascading failures)

기업 가이드라인은 에이전트가 이미 다른 시스템을 운영하고 있기 때문에 에이전트를 주요 표적으로 지목합니다.[11] 침해된 프롬프트, 정책 또는 커넥터는 범용 원격 운영 (Remote ops) 채널이 됩니다.

⚠️ 에이전트 특화 위협 [3][12]

• 도구 하이재킹 및 권한 상승: "검색" 의도를 "SQL 실행"에 잘못 바인딩함.
• 메모리 오염: 악성 지침이나 잘못된 믿음을 저장함.
• 도구 체인 실패: 워크플로를 통해 누적되는 작은 편차들.
• 에이전트 공급망 공격: 침해된 프레임워크, 커넥터, MCP 도구.

Databricks는 민감한 데이터, 신뢰할 수 없는 외부 입력, 그리고 외부 액션(external actions)을 결합한 에이전트가 프롬프트 인젝션 (Prompt injection)을 기다리는 사전 구축된 공격 체인(attack chains)과 유사하다고 지적합니다.[3] 공격적 에이전트 루프(Offensive agent loop): 공격자의 관점에서 에이전트 프레임워크는 전체 캠페인(정찰 → 액세스 → 측면 이동 → 데이터 유출)을 자동화합니다:[3][12]

while True :
    goals = update_goals ( env_state )
    plan = llm . plan ( goals = goals , tools = tool_catalog )
    for step in plan :
        if not policy . allow ( step ):
            continue
        result = tools [ step . tool ]. run ( step . args )
        memory . store ( result )
        if detect_access ( memory ):
            exfiltrate ( memory . snapshot ())

만약 계획(plans)과 메모리(memory)가 악성 입력(문서, 사용자 메시지, 오염된 지식 베이스(KB))에 의해 영향을 받는다면, 이 루프는 지속적이고 적응적인 탐색(adaptive probing) 수단이 됩니다.[3][11][12]

💡 운영 과제: 대부분의 기업은 실제 에이전트 동작에 대한 기준점(baselines), 플레이북(playbooks), 그리고 모니터링 체계가 부족합니다. 가이드라인은 단순히 설계상의 가정이 아니라, 에이전트가 실제로 데이터 및 도구와 어떻게 상호작용하는지 이해하기 위한 명시적인 모니터링과 실습 교육을 강조합니다.[11][12]

4. LLM 보안의 기본 원칙: 상용 모델을 악용 가능하게 만드는 요소
   LLM 보안은 모델, 데이터 파이프라인, 인프라, 그리고 학습부터 폐기까지의 인터페이스를 아우르는 엔드 투 엔드(end-to-end) 과정입니다.[2][4]
   OWASP Top 10 for LLM 앱은 다음을 강조합니다:[2][4]

• 프롬프트 인젝션 (Prompt injection) (사용자 및 데이터 임베디드)
• 학습 데이터 오염 (Training data poisoning)
• 모델 및 데이터 탈취
• 플러그인, SDK, 프레임워크의 공급망 결함

전통적인 소프트웨어와의 주요 차이점:[4]

• 비결정성 (Non-determinism): 동일한 입력에 대해 서로 다른 출력이 생성될 수 있음.
• 프롬프트 레이어링 (Prompt layering): 시스템, 사용자, 그리고 숨겨진 프롬프트가 서로 뒤섞임.
• 실행 가능한 출력 (Executable output): 응답에 그럴듯해 보이는 코드, 셸(shell), 또는 SQL이 포함될 수 있음.
• 환각 (Hallucinations) — 그럴듯하지만 부정확한 출력이 악성 콘텐츠가 몰래 빠져나갈 수 있는 은폐 수단을 제공함.[4]

효과적인 보안은 다음을 결합해야 합니다:[2][4]

• 전통적인 통제 수단: 권한 부여 (AuthZ), 입력 검증 (input validation), 보안 배포, 비밀 정보 관리 (secrets hygiene).
• AI 특화 조치: 적대적 학습 (Adversarial training), 출력 필터링 (output filtering), 동작 모니터링, 레드팀 (red-teaming).

강력한 입력 정화 (input sanitization): 인코딩을 정규화하고, 호모글리프 (homoglyphs)를 제거하며, 도구에 도달하는 내용을 제한합니다. 다음과 같은 기능을 수행하는 AI 보안 태세 관리 (AI-SPM) 도구들이 등장하고 있습니다:[2]

• LLM 자산 및 데이터 흐름 인벤토리 작성
• 리스크 및 설정 오류 (misconfigurations) 추적
• 클라우드 및 환경 전반에 걸친 정책 강제 적용

NIST의 AI 리스크 관리 프레임워크 (AI Risk Management Framework)는 적대적 예시 (adversarial examples), 데이터 오염 (data poisoning), 모델/데이터셋 유출 (exfiltration)을 예외적인 사례가 아닌 핵심 위협으로 지목합니다.[2][4]

💡 설계 관점: 상용 LLM API를 신뢰할 수 있는 블랙박스 (black boxes)로 취급하지 마십시오. 입력, 출력 및 학습 의존성에 대해 명시적인 검토와 제어가 필요한 부분적으로 적대적인 구성 요소로 취급해야 합니다.[2][4]

5. 상용 모델의 방어적 활용: SOC, Daybreak, 그리고 GPT-5.5-Cyber
   AI 규모의 공격을 가속화하는 것과 동일한 LLM들이 방어 운영과 기업용 AI (Enterprise AI)를 변화시키고 있습니다. 현대적인 보안 운영 센터 (SOC)는 텔레메트리 (telemetry) 상위의 추론/오케스트레이션 (reasoning/orchestration) 레이어로 LLM을 점점 더 많이 사용하고 있습니다:[5]

• 대량의 이기종 로그 (heterogeneous logs) 수집
• 위협 인텔리전스 (threat intel) 및 과거 사고와의 상관관계 분석
• 고충실도 (high-fidelity) 자연어 요약 생성

이는 확장(scaling)의 중심을 분석가 인력에서 데이터 품질과 모델 오케스트레이션으로 전환시킵니다.[5]

📊 경보 피로 (Alert fatigue) 및 AI 분류 (triage) [6]
대규모 조직에서는 흔히 다음과 같은 상황이 발생합니다:

• SIEM 및 관련 도구로부터 월간 10,000개 이상의 경보 발생
• 약 52%의 오탐 (false positives) 및 64%의 중복 경보
• 분석가 피로 및 실제 사고 탐지 실패

탐지, 분석, 복구의 자동화된 시퀀스인 플레이북 (Playbooks)은 이제 표준이 되었습니다.[6]
LLM은 다음과 같은 방식으로 플레이북을 강화합니다:[5][6]

• 문맥(context)과 예상 영향력을 통한 경보 정보 풍부화
• 유사한 이벤트의 정규화 및 중복 제거
• 조사 단계 및 복구 조치 제안

Daybreak 및 코드화된 AI 방어
OpenAI의 Daybreak는 특화된 모델, Codex Security 에이전트, 그리고 파트너들을 결합하여 소프트웨어 개발 생명주기 (SDLC)의 초기 단계에 보안을 내재화합니다.[7]
Codex Security는 다음과 같은 작업을 수행할 수 있습니다:[7]

• 코드베이스 분석 및 파일 간 데이터 흐름 추적
• 편집 가능한 위협 모델 (threat models) 및 공격 경로 구축
• 영향력이 큰 취약점 식별
• 격리된 환경에서 패치를 생성 및 테스트하여 재현 가능한 문제만 노출

GPT-5.5 및

GPT-5.5-Cyber 및 Trusted Access for Cyber (TAC)를 통한 접근은 핵심 방어 인프라로 자리매김하고 있습니다:[8]

• 고급 사이버 역량에 대한 ID(Identity) 및 신뢰 기반 접근 제공
• 정당한 작업(악성코드 분석, 리버스 엔지니어링, 탐지 엔지니어링, 패치 검증)에 대한 거부율 감소
• 오용을 차단하기 위한 가드레일(Guardrails) 적용

💼 소규모 팀을 위한 이점: 이러한 코파일럿(Copilots)은 강력한 거버넌스(Governance), 로깅(Logging), 격리(Containment) 환경 내에서 운영될 경우 코드 리뷰, 위협 모델링(Threat modeling), 아티팩트(Artifact) 분석을 수행하는 "가상 시니어 분석가" 역할을 합니다.[7][8]

6. AI 규모의 공격을 완화하기 위한 아키텍처 및 구현 패턴
   완화 전략은 보안을 사후 부착(Bolt-ons)하는 것이 아니라, 첫날부터 내장하는 AI 아키텍처에 달려 있습니다. Databricks의 AI 보안 프레임워크(AI Security Framework)와 "에이전트를 위한 2인 규칙(Rule of Two for Agents)"은 계층적 방어를 강조합니다:[3]

• 하나의 에이전트에 민감한 데이터, 신뢰할 수 없는 입력값, 강력한 외부 동작을 결합하는 것을 피하십시오.
• 에이전트 및 도구별로 엄격한 데이터 접근 제어를 강제하십시오.
• 사용 전 모든 입력값을 검증 및 정화(Sanitize)하십시오.
• 부수 효과(Side-effectful)를 일으키는 도구를 실행하기 전에 출력을 제한하고 검토하십시오.
  이러한 방식은 격리 제어(Containment controls)입니다. 즉, 침해(Compromise)가 발생할 수 있다고 가정하고, 피해 범위(Blast radius)를 제한하는 것입니다.[3]

📊 AI 보안을 위한 시프트 레프트(Shift-left) [2][4]
모범 사례:

• 프롬프트(Prompts), 도구, 에이전트 및 데이터 흐름에 대해 조기에 위협 모델링을 수행하십시오.
• 모델 동작 및 에이전트 정책에 대해 레드팀(Red-team) 활동을 수행하십시오.
• 프롬프트 인젝션(Prompt-injection), 데이터 오염(Data-poisoning), 데이터 유출(Exfiltration) 시나리오를 시뮬레이션하십시오.
• AI 특화 사고 대응 계획(Incident response plans)을 유지하십시오.

에이전트의 경우, 다음 지침을 강조합니다:[11][12]

• 실제 동작에 대한 지속적인 모니터링
• 각 에이전트가 접근할 수 있는 도구 및 데이터 세트에 대한 명확한 가시성 확보
• 도구 오용, 메모리 오염(Memory poisoning) 및 의도하지 않은 데이터 유출을 가정하는 전략