Cloak and Detonate: 스캐너 회피 및 에이전트 기술 악성코드의 동적 탐지
요약
LLM 코딩 에이전트의 제3자 기술(skills)을 이용한 소프트웨어 공급망 공격을 방어하기 위한 연구입니다. 기존 정적 스캐너를 우회하는 SkillCloak 프레임워크와 이를 탐지하기 위한 행동 중심의 런타임 감사 도구인 SkillDetonate를 제안합니다.
핵심 포인트
- LLM 에이전트 기술을 통한 소프트웨어 공급망 공격 위험성 경고
- SkillCloak을 통해 기존 정적 스캐너의 높은 우회 가능성 입증
- 구조적 난독화 및 자기 추출형 기술(SFS) 패킹 전략 제시
- 런타임 행동 분석 기반의 SkillDetonate를 통한 높은 탐지율 확보
LLM 코딩 에이전트(LLM coding agents)는 공용 마켓플레이스의 제3자 에이전트 기술(agent skills)에 점점 더 많이 의존하고 있으며, 이는 에이전트의 권한으로 실행되어 소프트웨어 공급망 공격 표면(software supply-chain attack surface)을 생성합니다. 즉, 악성 기술은 자격 증명을 훔치거나, 소스 코드를 유출하거나, 백도어를 설치할 수 있습니다. 기존의 방어 체계는 패턴 매칭(pattern matching) 또는 LLM-as-judge 분석에 기반한 정적 기술 스캐너(static skill scanners)를 사용하지만, 악성 동작은 유지하면서 페이로드(payload)의 외형을 변경하는 적응형 회피(adaptive evasions)를 견뎌낼 수 있는지는 여전히 불분명합니다.
본 논문은 먼저 공격의 의미론(semantics)을 온전하게 유지하면서 가시적인 형태를 변형하는 페이로드 보존 회피 프레임워크인 SkillCloak을 통해 기존 기술 스캐너에 대한 적대적 연구(adversarial study)를 제시합니다. SkillCloak은 두 가지 상호 보완적인 전략을 사용합니다: 가시적인 페이로드 지표를 의미론적으로 동일한 형태로 다시 쓰는 구조적 난독화(Structural Obfuscation), 그리고 악성 구성 요소를 설치 시점의 뷰(install-time view)로부터 숨겼다가 에이전트 실행 중에 복구하는 자기 추출형 기술(Self-Extracting Skill, SFS) 패킹(Packing)입니다. 8개의 스캐너와 1,613개의 실제 악성 기술을 대상으로 실험한 결과, SFS 패킹은 90% 이상의 확률로 모든 스캐너를 우회했으며, 구조적 난독화는 대부분의 정적 스캐너에서 80% 이상을 우회하고 하이브리드 스캐너에서는 96%에 달하는 우회율을 기록하여, 외형 기반 감사(appearance-based auditing)가 불충분함을 보여주었습니다.
이러한 발견에 착안하여, 우리는 기술을 샌드박스(sandbox)에서 실행하고 설치 시점의 외형이 아닌 OS 경계 정보 흐름 증거(OS-boundary information-flow evidence)를 통해 악성 효과를 탐지하는 행동 중심의 런타임 감사 도구인 SkillDetonate를 제안합니다. SkillDetonate는 실행 중에 구체화되는 명령어를 관찰하는 온디맨드 클로저 리프트(on-demand closure lift)와 에이전트 컨텍스트, 파일, 프로세스 및 네트워크 작업을 가로질러 민감한 데이터 흐름을 추적하는 마커 기반 오염 분석(marker-based taint analysis)을 결합합니다. 결과에 따르면 SkillDetonate는 2%의 오탐률(false-positive rate)로 공격의 97%를 탐지하며, 실제 악성 기술에 대해 87%의 탐지율을 유지합니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 arXiv Codex (cs.SE)의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기