악성코드 없이 침입하는 해커…해커보다 빠른 AI 이용해 잡아야

인공지능(AI)을 활용한 보안 자동화 기술이 고도화되면서, 해커 가 악성코드 없이 기업 시스템에 침투하는 새로운 해킹 수법에 대한 대응이 본격화되고 있다.

AI 기반 실시간 분석·대응 시스템이 보안 패러다임을 바꾸고 있다는 평가다.

18일(현지시간) 미국 필라델피아에서 열린 연례 보안 컨퍼런스 ‘AWS 리인포스 2025’ 에서 크라우드스트라이크의 카리슈마 아스타나 수석 프로덕트 마케팅 매니저는 “해커는 악성코드 없이 정상 명령어나 도구만으로 시스템에 침입하고 있다”라 알렸다.

그는 “기존 보안 체계는 실시간 탐지가 어렵고, AI 에이전트 기반의 자동화가 필수”라고 강조했다.

실제로 공격자는 악성코드를 사용하지 않은 채 깃허브에 노출된 액세스 키 하나만으로 AWS 가상 서버와 파일 저장소 전체에 침입한 사례가 확인됐다.

이날 발표에 나선 크라우드스트라이크의 벤자민 맥인니스 수석 테크니컬 마케팅 매니저는 “보안 담당자의 감시를 피해 단일 키 유출만으로 전체 인프라가 뚫릴 수 있다”고 경고하며 보안의 사각지대에 대한 대비를 촉구했다.

기업 내부 조사 결과도 위협 양상이 악화되고 있음을 시사한다.

크라우드스트라이크에 따르면 지난해 대비 보이스피싱 공격은 442% 증가했으며, 자격증명을 매매하는 ‘접근 브로커’ 활동도 50% 증가했다.

아스타나 매니저는 “이제 보안 담당자가 커피를 마시고 돌아오는 사이, 클라우드 전체가 침탈당할 수 있다”고 말했다.

이날 행사에서는 AI 기반 보안 자동화 솔루션 ‘샬럿AI’의 실시간 탐지 및 대응 시연도 진행됐다.

샬럿AI는 침입 탐지부터 분석, 대응까지 전 과정을 자동으로 처리할 수 있는 AI 에이전트로, 행위 기반 분석을 통해 악성코드가 없는 침입도 탐지 가능하다.

시연 사례에서 해커는 쿠버네티스 환경에 침투해 AWS 명령줄 도구를 통해 새로운 사용자 계정을 생성하고 권한 키를 탈취했다.

역방향 셸 명령어로 원격 접속을 연 해커는 시스템 전체를 장악할 수 있는 권한을 확보했다.

샬럿AI는 침입 발생 즉시 위협 신뢰도를 판단하고 경보를 발송한 뒤, 퓨전 워크플로를 연동해 공격 차단, 계정 회수, 로그 수집 등의 대응을 자동화했다.

이후에는 거대언어모델(LLM)을 활용해 공격 내용을 분석하고 공격자 행동의 흐름을 정리해 보안 담당자에게 전달했다. 분석부터 대응, 보고까지 AI가 전 과정을 주도한 셈이다.

맥인니스 매니저는 “샬럿AI는 고도화된 사이버 위협에 실시간 대응할 수 있는 구조로 설계됐다”라 말했다.

이어 “현재 신뢰도 판단의 근거를 설명하는 기능 등도 강화하고 있다”고 밝혔다.

다른기사보기

박세준 (karung2@sabanamedia.com) 기사제보