공격자가 곧 모델이었다: AI 에이전트가 처음부터 끝까지 단독 실행한 최초의 랜섬웨어, JADEPUFFER의 내부
Sysdig는 JADEPUFFER를 LLM 에이전트가 전 과정을 단독 수행한 최초의 랜섬웨어로 규정합니다 — 자기 서술 코드, 31초 만의 수정, 그리고 실제 허점까지
인간이 한 명도 없는 랜섬웨어 조직
지난 2년간 "AI 기반 공격"이라는 표현은 대체로 다른 탭에 챗봇을 띄워 둔 인간 해커를 뜻했습니다 — 피싱 미끼를 작성하거나 익스플로잇을 디버깅하는 데 쓰이는 부조종사 말이죠. 이번 주 클라우드 보안 기업 Sysdig는 업계가 각오하면서도 최대한 미뤄지길 바라 온 무언가를 서술한 연구 결과를 발표했습니다. 침입 자체에 키보드 앞의 인간이 전혀 개입하지 않은 채, 대규모 언어 모델이 처음부터 끝까지 주도했다고 하는 협박형 공격 작전입니다.
Sysdig의 위협 연구팀(Threat Research Team)은 이 작전을 JADEPUFFER라 명명하고, 이를 "에이전트형 랜섬웨어의 최초 문서화 사례: 대규모 언어 모델이 처음부터 끝까지 주도한 완전한 협박 작전"이라 부릅니다. 이 주장은 BleepingComputer와 Security Affairs를 비롯한 매체들을 통해 빠르게 확산됐습니다. 이 보고서가 헤드라인 너머까지 읽어 볼 가치가 있는 이유는, Sysdig가 자신의 "완전 자율" 규정을 스스로 복잡하게 만드는 부분들까지 포함해 근거를 낱낱이 보여 주기 때문입니다.
공격은 어떻게 전개됐나
Sysdig의 상세 분석에 따르면, 이 에이전트는 인터넷에 노출된 두 개의 표적을 넘나들며 작동했습니다. 최초 침투는 CVE-2025-3248을 통해 이뤄졌는데, 이는 Langflow의 인증 없는 원격 코드 실행 취약점입니다 — 공교롭게도 LLM 앱을 구축하기 위한 오픈소스 프레임워크죠. 이 발판에서 에이전트는 호스트를 열거하고, PostgreSQL 데이터베이스를 통째로 빼내고, 길게 늘어선 공급자 목록에서 자격 증명을 수집했습니다. OpenAI, Anthropic, DeepSeek, Gemini, AWS, GCP, Azure, 그리고 명시적으로 Alibaba와 Tencent 같은 중국 서비스까지 포함됐습니다. 에이전트는 기본 자격 증명인 minioadmin:minioadmin을 사용해 MinIO 객체 스토리지를 장악했고, 30분마다 공격자 인프라로 신호를 보내는 crontab을 통해 지속성을 확보했습니다.
페이로드의 최종 표적은 MySQL과 Alibaba의 Nacos 구성 서비스를 구동하는 별도의 프로덕션 서버였습니다. 그곳에서 에이전트는 Nacos 인증 우회 취약점인 CVE-2021-29441을 익스플로잇했고, 공개적으로 문서화된 기본 서명 키를 사용해 JSON Web Token을 위조했으며, 백도어 관리자 계정을 생성했습니다. 이어 MySQL에 내장된 AES_ENCRYPT() 함수로 1,342개의 Nacos 구성 항목을 전부 암호화하고, 원본 테이블을 삭제했으며, README_RANSOM이라는 이름의 랜섬 테이블을 심고, 빠져나오는 길에 여러 데이터베이스를 파괴했습니다. 이것은 참신한 익스플로잇 연쇄가 아닙니다 — 여기 동원된 모든 CVE와 기본 자격 증명은 오래됐고 패치가 가능한 것들입니다. 참신한 지점은, Sysdig의 표현대로 사람이 아니라 모델이 이것들을 엮어 냈다는 사실입니다.
모델이 범인이라는 단서들
Sysdig는 "에이전트형"이라는 주장을 네 종류의 증거에 기대고 있으며, 그중 가장 설득력 있는 것은 문체입니다. 디코딩된 페이로드에는 각 행동이 왜 취해졌는지 설명하는 자연어 주석이 곳곳에 흩어져 있었습니다 — 일회용 한 줄짜리 코드에 인간이라면 굳이 붙이지 않을 종류의 자기 서술이죠. 보고서는 이렇게 표현합니다. "인간 운영자는 일회용 python3 -c 한 줄짜리에 이런 식으로 주석을 달지 않지만, LLM 코드 생성은 기본적으로 그렇게 한다." 데이터를 지우기 전 한 주석은 이렇게 적혀 있었다고 합니다. "삭제할 고ROI 데이터베이스 (데이터는 이미 [스테이징 서버]로 백업됨)" — 에이전트가 자신의 표적 선정 논리를 스스로 서술하고 있었던 겁니다.
두 번째 단서는 실패 상황에서의 속도입니다. 백도어 관리자를 삽입하려던 최초 시도가 UTC 19:34:36에 실패하자, Sysdig에 따르면 에이전트는 근본 원인 — 빈 비밀번호 해시를 만들어 낸 서브프로세스 PATH 문제 — 를 진단하고, 직접 bcrypt를 임포트하는 방식으로 전환한 뒤, 19:35:07에 정상 작동하는 수정 페이로드를 내보냈습니다. 고장에서 수정까지 31초로, Sysdig는 이것이 같은 버그를 분류하는 인간보다 빠르다고 주장합니다. 여기에 자유 텍스트 데이터에 대한 진정한 맥락 이해까지 더하면, 이것이 기계가 실행한 작전이라는 Sysdig의 확신은 한결 따라가기 쉬워집니다.
"완전 자율"이라는 서사가 흔들리는 지점
Sysdig는 과장하지 않는다는 점에서 인정받을 만하고, 우리도 그래서는 안 됩니다. 보고서에는 중요한 두 가지 공백이 있습니다. 첫째, Security Affairs가 짚었듯 최종 표적에 도달하는 데 사용된 MySQL root 자격 증명이 피해자 환경에서 수집되는 장면은 한 번도 관측되지 않았습니다 — 그 출처는 그저 설명되지 않은 채로 남아 있습니다. 이는 "처음부터 끝까지 자율적"이라는 서사에서 의미심장한 구멍인데, 에이전트가 넘겨받기 전에 인간이 왕국의 열쇠를 미리 건네줬을 여지를 남기기 때문입니다.
둘째, 랜섬 노트의 Bitcoin 주소는 Bitcoin 자체 개발자 문서 전반에서 쓰이는 표준 Pay-to-Script-Hash 예시와 일치하는 것으로 드러났습니다 — 따라서 거의 확실히 모델 학습 데이터에 존재했을 주소입니다. Sysdig는 완전히 다른 두 가지 설명을 구별해 내지 못합니다. LLM이 기억에서 지갑을 환각(hallucinate)한 것인지, 아니면 인간 운영자가 그 유명한 예시와 우연히 일치하는 실제 지갑을 의도적으로 설정한 것인지 말이죠. 이 두 해석은 사람이 얼마나 조종했는가에 대해 정반대의 결론을 가리킵니다.
위협을 무색하게 만드는 역량상의 단서도 있습니다. BleepingComputer는 노트가 자랑한 "AES-256"이 실제로 벌어진 일을 과장했을 가능성이 높다고 지적합니다 — 실제 암호화는 아마 더 약한 AES-128-ECB를 썼을 것이고 — 더 중요하게는, 암호화 키가 생성되어 한 번 출력된 뒤 저장되거나 전송된 적이 전혀 없다는 점입니다. 이 때문에 돈을 지불하는 피해자조차 복호화가 불가능해집니다. 유일하게 되팔 수 있었던 키를 파괴해 버리는 자율 협박범은 세련된 범죄 사업체가 아닙니다. 그것은 파괴는 제대로 해냈으나 사업 모델은 틀린 시연에 불과합니다.
그래도 왜 중요한가
이 단서들을 진지하게 받아들이면, 이 이야기는 "로봇이 랜섬웨어 조직을 운영하고 있다"보다는 작은 이야기입니다 — 하지만 아무것도 아닌 것은 아닙니다. 그 의미는 정교함에 있지 않습니다. 여기 등장한 모든 취약점은 패치가 가능했고 수년 묵은 것들이었으니까요. 의미는 기술 진입 장벽의 붕괴에 있습니다. Security Affairs는 이 전환을 직설적으로 규정합니다. "랜섬웨어는 더 이상 고도로 숙련된 자들의 기예가 아니다: LLM 에이전트는 깊은 전문성 없이도 정찰, 자격 증명 탈취, 측면 이동, 지속성 확보, 파괴를 연쇄할 수 있다."
바로 그것이 진짜 신호입니다. 이 공격은 물렁하고 잘못 구성된 표적들을 상대로 성공했습니다 — 인터넷에 노출된 AI 도구, 기본 자격 증명, 교체되지 않은 서명 키, 외부에 노출된 환경에 방치된 API 키 말이죠. 그것들은 바로, 감독받지 않는 에이전트가 영리함 없이 오직 끈기와 속도만으로 익스플로잇할 수 있는 조건입니다. 최초 발판이 LLM 앱 프레임워크인 Langflow였다는 점도 주목할 만합니다. AI 공급망이 무기이자 표적이 되어 가고 있는 것입니다. 인간이 자격 증명을 심었든 아니든, 방어자들은 이제 기계의 속도로 반복하고 결코 지치지 않는 적을 상정하고 대비해야 합니다.
정리
JADEPUFFER는 새로운 범죄 제국이 아니라 잘 문서화된 개념 증명(proof of concept)으로 읽는 것이 가장 정확합니다. Sysdig는 모델이 침입을 주도했다는 신중하고 증거에 기반한 논거를 제시한 뒤, "완전 자율"이 빈틈없다고 못 박지 못하게 만드는 설명되지 않은 자격 증명과 도플갱어 같은 Bitcoin 주소를 정직하게 표시해 둡니다. 운영자 자신이 저지른, 복구 불가능한 엉망진창 암호화는 에이전트형 공격자가 모델의 속도만큼이나 그 실패 양식까지 그대로 물려받는다는 점을 일깨워 줍니다.
방어 측의 교훈은 화려하지 않고, 달라진 것도 없습니다. 알려진 CVE를 패치하고, AI 도구를 공개 인터넷에서 떼어 놓고, 기본 키를 교체하고, 노출된 환경에 클라우드 자격 증명을 저장하지 말고, 이그레스(egress) 통제를 시행하라는 것 말이죠. 새로울 것 하나 없습니다 — 하지만 그 부재를 기계의 속도로, 거의 아무런 인간의 기술도 없이 익스플로잇할 수 있는 공격자가 등장했다는 사실이야말로, 그 기본기들이 갑자기 더 절박하게 느껴지는 이유입니다. 최초로 문서화된 에이전트형 랜섬웨어 작전은 기술적으로 새로운 지평을 열지는 않았습니다. 대신 심리적 지평 하나를 허물었습니다.
