AI VIDEO BRIEFING

AI 모델 안전장치와 에이전트형 랜섬웨어·ClickFix — IBM 보안 패널 분석

앤트로픽·오픈AI의 새 모델이 안전장치를 전면에 내세웠지만, IBM 보안 패널은 가드레일이 결국 선량한 사용자에게만 적용된다고 지적한다. 에이전트형 랜섬웨어와 ClickFix 위협도 함께 짚었다.

AI 안전장치는 왜 '착한 쪽'에만 적용될까 — IBM 보안 전문가들이 짚은 새 모델과 위협 영상 대표 이미지

핵심 메시지

  • 앤트로픽과 오픈AI가 새 모델을 내놓으며 처음으로 '안전장치(safeguards)'를 전면에 내세웠고, 실시간으로 위험한 요청·출력을 차단하는 분류기(classifier)를 활용한다.
  • 가드레일은 규칙을 지키는 선량한 행위자에게만 적용되며, 나쁜 행위자는 모델 증류나 WormGPT 같은 무방비 모델로 이를 우회한다는 것이 패널의 공통된 우려다.
  • Sysdig가 '최초의 에이전트형 랜섬웨어'라 부른 Jade Puffer 사례를 두고, 정교하지 않다는 반론과 '첫 사례라면 오히려 원시적일 것'이라는 시각이 엇갈렸다.
  • 터미널에 악성 명령을 붙여넣게 유도하는 ClickFix가 가장 지배적인 초기 침투 수법으로 떠올랐으며, 순수 사회공학이라 백신·EDR로 막기 어렵다.
  • 라틴아메리카 금융을 노린 Unreg Stealer는 가짜 인증서 실행 → 은밀한 크롬 확장 설치 → 은행 페이지에 정보 탈취 코드 주입으로 이어지며, 확장 프로그램 설치 통제가 핵심 방어책이다.

쉽게 이해하기

IBM의 주간 보안 팟캐스트 'Security Intelligence' 패널은 앤트로픽의 Fable 5·Mythos 5와 오픈AI의 GPT-5.6(코드명 Saul) 등 새로 공개된 모델들이 이례적으로 '안전장치'를 전면에 내세운 점에 주목했다. 이들 모델은 사용자 상호작용을 실시간 분석해 유해한 요청과 출력을 차단하는 작은 AI 시스템, 즉 분류기(classifier)를 안전장치로 사용한다.

패널은 이 흐름을 장기적으로 긍정적이라고 봤다. 취약점을 먼저 찾아내면 공격자보다 앞서 방어할 수 있기 때문이다. 실제로 한 모델은 오픈BSD에 27년간 방치돼 있던 취약점을 순식간에 찾아냈다. 그러나 같은 능력이 공격에도 쓰일 수 있고, 모델 증류나 재현으로 안전장치 없는 버전이 만들어질 수 있다는 점이 문제로 지적됐다. 이미 챗GPT만큼 오래된 WormGPT는 아무런 제약 없이 악성코드를 작성해 준다.

핵심 논지는 '가드레일은 규칙을 지키는 쪽에만 적용된다'는 것이다. 한 명의 나쁜 행위자만 규칙을 어겨도 방어의 최저선이 무너지며, 오히려 과도한 규칙이 모델 성능을 떨어뜨려 방어자의 손발을 묶을 수 있다. 그럼에도 앤트로픽이 파트너들과 탈옥(jailbreak) 대응을 위한 공통 프레임워크를 만들려는 시도처럼, 최소한의 표준을 세우려는 노력은 의미가 있다고 평가했다.

두 번째 주제는 Sysdig가 '문서화된 최초의 에이전트형 랜섬웨어'라 부른 Jade Puffer였다. Langflow의 인증 누락 취약점으로 침투해 데이터를 암호화하고 몸값 요구서를 생성했지만, 암호화 키를 저장하지 않아 복구 자체가 불가능했다. 자기 서술형 코드와 빠른 속도를 근거로 AI 소행으로 판단했으나, 기법이 단순하고 서버 한 대만 노렸다는 반론도 나왔다. 패널은 '첫 에이전트형 사례라면 오히려 기존 수법을 흉내 내며 실수도 많을 것'이라며, 진위 논쟁보다 규모와 속도의 증가가 진짜 위협이라고 봤다.

마지막으로 사용자가 스스로 터미널에 악성 명령을 붙여넣게 유도하는 ClickFix가 가장 지배적인 초기 침투 수법이 됐다. 이는 사람의 판단을 파고드는 순수 사회공학 공격이라 백신이나 EDR로 막을 수 없고, 특히 소프트웨어 공급망을 오염시키려 개발자를 표적으로 삼는다. 별도 코너에서 소개된 Unreg Stealer는 라틴아메리카 은행·핀테크 이용자를 노려 가짜 인증서 실행 파일과 은밀한 크롬 확장으로 계정 정보를 탈취했다.

주요 인사이트

  • 안전장치를 '문제의 해결책'으로 착각해서는 안 된다. 그것은 끝이 아니라 시작이며, 나쁜 행위자에게는 적용되지 않는다.
  • 가드레일이 모델 성능을 떨어뜨리면 방어자만 불리해질 수 있으므로, 선량한 사용자를 벌하지 않는 방식의 규제가 필요하다.
  • 에이전트형 공격의 본질적 위험은 정교함이 아니라 '규모와 속도'다. 진입 장벽이 낮아지면 실력 없는 공격자도 큰 피해를 낼 수 있다.
  • ClickFix가 통하는 이유는 IT 업계가 사용자에게 '명령을 복사해 붙여넣으라'고 오래 훈련시켜 왔기 때문이며, 이제는 그 습관을 되돌려야 한다.
  • 브라우저 확장 프로그램 설치를 화이트리스트로 잠그고, PowerShell 실행을 강화하는 것이 Unreg Stealer 같은 공격 사슬을 끊는 가장 중요한 통제다.

자주 묻는 질문

Jade Puffer가 '최초의 에이전트형 랜섬웨어'라는 데 모두 동의했나요?

아니요. Sysdig는 자기 서술형 코드와 빠른 속도를 근거로 그렇게 규정했지만, 기법이 단순하고 기본 자격증명·오래된 취약점을 이용해 서버 한 대만 노렸다는 점에서 회의적인 시각도 제시됐습니다.

ClickFix는 어떤 공격인가요?

사용자를 속여 시스템 터미널에 유해한 명령을 직접 복사·붙여넣게 만드는 사회공학 수법입니다. 2024년경 등장해 빠르게 확산됐고, 순수 사회공학이라 백신이나 EDR 같은 기술적 수단으로는 막기 어렵습니다.

Unreg Stealer의 주요 표적과 방어책은 무엇인가요?

라틴아메리카, 특히 브라질 핀테크와 Pix 결제 이용자를 노립니다. 방어의 핵심은 크롬 확장 프로그램 설치를 허용 목록으로 통제하고 PowerShell 실행을 강화하는 것이며, 감염이 의심되면 세션·자격증명을 먼저 무효화한 뒤 깨끗한 기기에서 비밀번호를 바꿔야 합니다.

원문과 출처

이 글은 원본 영상의 자막을 바탕으로 한국어 독자를 위해 요약했습니다. 전체 맥락과 최신 정보는 원문에서 확인하세요.

YouTube 원본 영상 보기 ↗

관련 AI 소식