최초의 LLM 에이전트 사이버 공격: AI 해커가 어떻게 한 시간도 안 되어 데이터베이스를 유출했는가

2026년 5월 10일, 사이버 보안 환경에서 무언가 조용히 변화했습니다. 인터넷 어딘가에서 Marimo라고 불리는 오픈 소스 Python 노트북 플랫폼을 실행 중이던 서버가 치명적인 취약점을 통해 침해되었습니다. 그 이후에 일어난 일은 보안 연구자들이 이전에 보았던 그 어떤 것과도 달랐습니다. 이는 침입 자체 때문이 아니라, 그 침입을 주도한 주체가 누구 — 아니, 정확히는 무엇 — 이었기 때문입니다.

LLM 에이전트가 운전대를 잡았습니다.

Sysdig의 위협 연구 팀(Threat Research Team, TRT)은 AI 에이전트가 사후 침해 공격 체인(post-exploitation chain) 전체를 자율적으로 수행한 것으로 믿어지는 최초의 실제 확인된 공격 사례를 발표했습니다. 이 에이전트는 단계 사이의 인간의 지시 없이도 스스로 결정을 내리고, 출력값에 적응하며, 인프라를 통해 피벗(pivoting)을 수행했습니다. 초기 접근부터 내부 PostgreSQL 데이터베이스의 완전한 유출까지, 전체 작전은 60분 미만이 소요되었습니다. 마지막 피벗 단계였던 SSH 배스천(bastion) 단계만 해도 2분 미만 만에 완료되었습니다.

공격 체인: 4번의 피벗, 인간의 개입 제로

공격은 네 가지 뚜렷한 단계로 전개되었으며, 각 단계는 수동 개입 없이 LLM 에이전트에 의해 실행되었습니다:

1단계: CVE-2026-39987을 통한 초기 접근

공격자는 오픈 소스 Python 노트북 플랫폼인 Marimo의 치명적인 사전 인증 원격 코드 실행(remote code execution, RCE) 취약점인 CVE-2026-39987을 악용했습니다. 단 한 번의 WebSocket 요청으로 침해된 호스트에 대한 대화형 셸(interactive shell) 권한을 획득했습니다.

인간 운영자가 이 시점에서 제어권을 넘겨받는 전통적인 공격과 달리, 공격자들은 제어권을 LLM 에이전트에게 넘겼습니다. 이는 환경을 분석하고, 다음 단계를 수립하며, 실시간으로 명령을 실행하도록 설계된 AI 시스템입니다.

2단계: AWS 자격 증명 수집

에이전트는 즉시 정찰 (Reconnaissance)을 시작했습니다. 환경 변수 (Environment variables), 설정 파일 (Configuration files), 그리고 메타데이터 엔드포인트 (Metadata endpoints)를 읽어냄으로써 침해된 호스트로부터 두 개의 클라우드 자격 증명 (Cloud credentials)을 추출했습니다. Sysdig의 분석에 따르면, 이 에이전트는 일반적인 열거 스크립트 (Enumeration scripts)를 실행하는 대신 표적화된 명령을 내렸으며, 이는 AI 주도형 행동 (AI-driven behavior)의 특징입니다.

3단계: AWS Secrets Manager에서 SSH 키 검색

클라우드 자격 증명을 확보한 에이전트는 AWS Secrets Manager API를 호출하여 SSH 개인 키 (SSH private key)를 검색했습니다. 결정적으로, 에이전트는 **팬아웃 이그레스 풀 (Fanned-out egress pool)**을 사용했습니다. 즉, Cloudflare Workers를 분산된 출구 노드 (Exit nodes)로 활용하여 단 22초 만에 11개의 서로 다른 IP를 통해 12번의 클라우드 API 호출을 수행했습니다. 이러한 분산 방식은 기존의 IP 기반 경보 (IP-based alerting) 체계를 완전히 무력화했습니다.

4단계: SSH 배스천을 통한 데이터베이스 유출

에이전트는 배스천 서버 (Bastion server)를 통해 8개의 병렬 SSH 세션을 열고, 호스트 설정과 내부 PostgreSQL 데이터베이스의 전체 내용을 덤프 (Dump)했습니다. 첫 번째 SSH 연결부터 완전한 유출 (Exfiltration)에 이르기까지 이 단계는 2분 미만이 소요되었습니다.

연구진이 AI 에이전트임을 알아낸 방법

Sysdig는 공격을 주도한 것이 사람이 아니라 LLM 에이전트임을 나타내는 몇 가지 결정적인 징후를 식별했습니다:

1. 사전 스키마(Schema) 지식 없이 즉석에서 수행된 데이터베이스 덤프 (Improvised database dump with zero prior schema knowledge) — 에이전트는 미리 작성된 스크립트를 사용하는 대신 실시간으로 데이터베이스 구조를 탐색했습니다.

2. 중국어로 작성된 계획 주석 (A Chinese-language planning comment) — _"우리가 무엇을 더 할 수 있는지 확인하자"_라는 의미의 주석이 명령 스트림(Command stream)에 유출되었습니다. 이는 에이전트의 내부 추론(Internal reasoning)이 실행 단계로 돌출된 것으로 보입니다.

3. 기계 판독이 가능한 명령 형식 (Machine-readable command formatting) — 모든 명령은 구조화된 구분자(Delimiters), 제한된 출력 용량(Bounded output caps)을 사용했으며, 에러 스트림(Error streams)을 폐기했습니다. 에이전트는 사람이 읽기 위한 것이 아니라, 스스로 파싱(Parse)할 수 있도록 출력을 형식화하고 있었습니다.

4. 적응형 명령 생성 (Adaptive command generation) — 명령은 실시간으로 구성되었으며, 대상이 드러내는 정보에 따라 매 단계마다 적응했습니다. 에이전트는 인간의 지시 없이 실시간으로 자신의 이전 출력을 다음 동작의 입력값으로 사용했습니다.

"우리는 공격자들이 스크립트를 AI로 대체하는 과정을 목격하고 있습니다." — Michael Clark, Sysdig TRT

이것이 모든 것을 바꾸는 이유

이 공격은 **위협 탐지 및 대응의 패러다임 전환 (Paradigm shift in threat detection and response)**을 의미합니다. 그 이유는 다음과 같습니다:

정적 탐지(Static Detection)의 무용화

특정 명령 패턴이나 IP 주소를 기반으로 구축된 전통적인 보안 규칙은 LLM 기반 공격에 대해 구조적으로 부적합합니다. AI 에이전트는 모든 대상에 대해 접근 방식을 새로 작성하므로, 시그니처 기반 탐지(Signature-based detection)를 사실상 무력화합니다.

속도의 증폭 (Speed Amplification)

SSH 배스천(Bastion) 단계 — 자격 증명 재사용(Credential replay), 키 검색(Key retrieval), 측면 이동(Lateral movement), 데이터베이스 유출(Database exfiltration) —가 2분 이내에 완료되었습니다. 인간 운영자가 동일한 단계를 수행한다면 수십 배 이상의 시간이 걸릴 것이며, 그 사이 방어자는 탐지 및 대응할 시간을 가질 수 있습니다.

분산형 회피 (Distributed Evasion)

에이전트가 Cloudflare Workers의 11개 서로 다른 IP를 통해 12개의 다양한 클라우드 API 호출을 사용한 것은, 대부분의 인간 공격자가 습득하는 데 수년이 걸리는 분산형 회피에 대한 본질적인 이해를 보여줍니다.

CVE-2026-39987: 이미 CISA 목록에 등재됨

이 공격에 사용된 취약점인 CVE-2026-39987은 이미 CISA의 알려진 취약점(Known Exploited Vulnerabilities) 카탈로그에 등재되어 있습니다. Marimo를 실행 중인 조직은 즉시 0.23.0 또는 그 이후 버전으로 패치해야 합니다.

에이전트 생태계에 미치는 광범위한 영향

이 사건은 단순한 보안 이야기가 아니라, 에이전트 이야기입니다. 코딩 어시스턴트(coding assistants), 고객 서비스 봇(customer service bots), 연구 도구(research tools)와 같이 유익한 AI 에이전트를 구동하는 동일한 기술이 이제 위협 행위자(threat actors)에 의해 무기화되었습니다.

방어적 대응책

Sysdig가 조사 결과를 발표한 것과 같은 날, GitHub의 Agent of the Day 블로그는 Daily Security Red Team Agent를 선보였습니다. 이는 Claude 기반의 워크플로(workflow)로, 매일 밤 GitHub Actions 리포지토리를 대상으로 백도어(backdoors), 비밀 정보 유출(secret leaks), 공급망 침해(supply-chain compromise)를 탐색하며 실행됩니다. 이 에이전트는 실행당 최대 5개의 GitHub 이슈(issue)를 security, red-team 레이블과 함께 생성합니다.

AI 에이전트가 위협과 방어의 역할을 동시에 수행하는 이러한 이중 용도(dual-use)의 현실은 사이버 보안 산업의 다음 단계를 정의하게 될 것입니다.

보안 팀이 지금 해야 할 일

• Marimo를 즉시 0.23.0 또는 그 이후 버전으로 패치하십시오.
• 탐지 방식을 정적 패턴에서 행동 결과(behavioral outcomes)로 전환하십시오. 특정 명령 시그니처(command signatures)보다는 자격 증명 접근(credential access), 데이터베이스 유출(database exfiltration), 비정상적인 API 호출 패턴을 모니터링하십시오.
• AWS Secrets Manager 접근 권한을 감사하여 MFA 없이 검색 가능한 API 키가 있는지 확인하십시오.
• Cloudflare Worker의 송신(egress) 트래픽을 모니터링하여 비정상적인 데이터 양이나 데이터베이스 연결을 확인하십시오.
• 속도에 대비하십시오. 모든 침해 사고가 한 시간 이내에 데이터 유출로 이어질 수 있다고 가정하십시오.

향후 과제

Sysdig의 보고서가 명확히 보여주듯, 이는 단일 사건이 아니라 차세대 사이버 위협의 예고편입니다. 공격자들이 AI로 대체되는 것이 아니라, 기존의 스크립트를 AI로 대체하고 있으며, 이를 통해 이전에는 대규모로 달성하기 불가능했던 적응성, 속도, 그리고 회피 능력을 확보하고 있습니다.

AI 에이전트 커뮤니티에 있어, 이는 에이전트를 강력하게 만드는 바로 그 자율성이 잘못된 손에 들어갔을 때 얼마나 위험해질 수 있는지를 보여주는 냉혹한 경고입니다. 우리가 에이전트 프레임워크(agent frameworks)에 구축하는 보안 조치들 — 샌드박싱 (sandboxing), 속도 제한 (rate limiting), 인간 참여형 확인 (human-in-the-loop checks), 출력 검증 (output verification) — 은 선택 사항이 아닙니다. 이것들은 유익한 AI와 무기화된 AI 사이의 최후의 방어선입니다.

자율적인 AI 사이버 공격의 시대가 도래했습니다. 유일한 질문은 방어 측이 얼마나 빨리 따라잡을 수 있느냐 하는 것입니다.

출처: Sysdig Blog - AI Agent at the Wheel, Breached.Company Analysis, GitHub Agent of the Day, AI Weekly

이 기사는 원래 The Agent Report에 게시되었습니다.