2만. 보안 전문가들이 매일 수많은 로그와 취약점 보고서를 검토하며 마주하는 데이터의 양을 상징하는 숫자다. 사람이 일일이 수동으로 공격 경로를 탐색하고 익스플로잇을 시도하는 방식은 이제 물리적인 한계에 봉착했다. 마치 숙련된 해커가 수십 명의 분신을 만들어 동시에 네트워크를 휘젓고 다니는 것과 같은 효율이 필요한 시점이다. 그런데, 단순히 스캔 결과를 나열하는 수준을 넘어 실제 적대자의 공격 체인을 그대로 재현하는 자율형 레드팀 에이전트 'Decepticon'이 등장했다. 정찰부터 권한 상승, 측면 이동에 이르는 일련의 과정을 기계가 직접 수행하며 보안 검증의 판도를 바꾸고 있다.

16개 전문 에이전트와 실전적 공격 체인

보안 솔루션의 가격표가 무료로 명시되어 있다고 해서 그 운영에 드는 비용까지 제로인 것은 아니다. 인프라를 구축하고 공격 경로를 설계하는 인적 자원과 그에 수반되는 시간적 손실은 고스란히 기업의 기회비용으로 남는다. Decepticon은 단순한 스캔 도구를 넘어, 사람이 직접 수행하던 레드팀의 교전 과정을 자동화함으로써 이러한 보이지 않는 비용을 시스템화된 연산 자원으로 치환한다.

Decepticon은 킬체인(Kill Chain)의 각 단계를 전담하는 16개의 전문 에이전트를 가동한다. 이들은 Orchestration(오케스트레이션), Reconnaissance(정찰), Exploitation(익스플로잇), Post-Exploitation(사후 공격), Vulnerability Research(취약점 연구) 등 공격의 핵심 경로를 분담한다. 특히 AD(Active Directory, 윈도우 네트워크 관리 시스템), Cloud(클라우드 환경), Smart Contracts(블록체인 계약), Reversing(리버스 엔지니어링), Analyst(데이터 분석) 등 도메인별 전문가 에이전트를 배치해 타깃의 성격에 따라 정밀한 공격 체인을 구성한다. 단순한 스크립트 실행이 아니라, 실제 적대자가 수행하는 정찰, 권한 상승, 측면 이동, C2(Command and Control, 명령 제어) 과정을 동일한 논리로 재현하는 것이 핵심이다.

실전적 공격을 구현하기 위해 이 시스템은 인터랙티브 도구를 직접 제어한다. 사용자는 msfconsole(메타스플로잇 콘솔), sliver-client(슬리버 클라이언트), evil-winrm(윈도우 원격 관리 도구)과 같은 도구들을 영구적인 tmux 세션 내에서 실행할 수 있다. 이는 에이전트가 일회성 명령에 그치지 않고, 세션을 유지하며 지속적인 공격 흐름을 이어갈 수 있음을 의미한다. 또한, 자동 프롬프트 감지 기능을 통해 모델의 차단이나 우회 없이 후속 명령을 안정적으로 전송한다.

모든 교전은 철저한 계획 하에 이루어진다. 패킷을 송출하기 전 RoE(교전 수칙), ConOps(작전 개념), Deconfliction Plan(충돌 방지 계획), OPPLAN(작전 계획)으로 구성된 완전한 교전 패키지를 생성하며, 모든 행위는 MITRE ATT&CK(사이버 공격 전술 및 기술 프레임워크)에 매핑된다. 이는 보안 검증이 단순한 시연에 머물지 않고, 실제 위협 모델링과 동일한 수준의 체계적인 공격 프로세스를 수행함을 의미한다.

Docker 기반 샌드박스와 이중 네트워크 격리

AI가 생성한 공격 코드를 내 컴퓨터에서 그대로 실행해도 안전할까, 아니면 시스템 전체를 위험에 빠뜨리는 도박이 될까. Decepticon은 모든 명령을 Kali Linux(보안 진단 및 침투 테스트용 리눅스 배포판) 샌드박스 내부에서만 실행하는 방식을 택했다. LangGraph(LLM 기반의 상태 유지 멀티 에이전트 구축 프레임워크)가 Docker 소켓을 통해 샌드박스를 구동하며, 에이전트가 내리는 모든 명령은 이 격리된 컨테이너 내부의 셸로 전달된다. 호스트 OS의 파일 시스템이나 네트워크 설정에 직접 접근할 수 없는 구조를 만들어 AI의 오작동이나 예기치 못한 명령어 실행이 실제 운영 환경을 파괴하는 사고를 원천적으로 차단한다. 이는 사용자의 로컬 환경이 무엇이든 관계없이 동일한 공격 도구 세트와 환경을 보장하는 효과를 준다.

네트워크 경로 역시 단일 통로로 두지 않고 이중 구조로 설계해 통신 간섭을 막았다. 실제 공격 대상과 직접 통신하며 데이터를 주고받는 작전망인 `sandbox-net`과 에이전트의 상태를 모니터링하고 명령을 하달하는 관리망인 `decepticon-net`을 엄격히 분리해 운영한다. 작전망에서 발생하는 대량의 패킷 송출이나 네트워크 부하가 관리망의 제어권에 영향을 주지 않도록 논리적 격리를 수행한 결과다. 공격자가 사용하는 실제 네트워크 전술을 그대로 재현하면서도, 관리자가 에이전트의 동작을 실시간으로 제어하고 즉각 중단시킬 수 있는 안정적인 통제권을 확보하기 위한 설계다. 관리망은 오직 샌드박스의 제어 인터페이스와만 연결되어 외부 노출을 최소화한다.

단순히 취약점을 찾는 수준을 넘어 실제 군사 작전과 유사한 교전 패키지를 먼저 생성하고 검토하는 단계를 둔다. 패킷을 송출하기 전 RoE(교전 규칙), ConOps(운용 개념), Deconfliction Plan(충돌 방지 계획), OPPLAN(작전 계획)으로 구성된 완전한 패키지를 자동으로 작성한다. 특히 Deconfliction Plan을 통해 실제 공격 활동이 정상적인 시스템 관리 활동과 혼동되지 않도록 조정하고, OPPLAN으로 세부 실행 순서를 정의한다. 여기에 MITRE ATT&CK(실제 공격자의 전술과 기술을 체계화한 지식 베이스) 프레임워크 매핑까지 지원해 각 공격 단계가 어떤 전술적 의도를 가지는지 명시한다. 무분별한 자동 스캔이 아니라 사전에 정의된 규칙과 계획에 따라 움직이는 전문 레드팀의 표준 업무 프로세스를 소프트웨어적으로 구현한 것이다.

모델 연동 및 티어별 운영 전략

실제 공격 시뮬레이션에서 어떤 모델을 선택해야 가장 효율적일까? Decepticon은 특정 LLM에 종속되지 않고 Anthropic, OpenAI, Google Gemini를 비롯해 MiniMax, DeepSeek, xAI, Mistral, OpenRouter, Nvidia NIM, Ollama까지 폭넓은 프로바이더를 지원한다. 클라우드 기반의 고성능 모델부터 Ollama를 통한 로컬 모델까지 선택지가 넓어 보안 정책상 외부 유출이 금지된 폐쇄망 환경에서도 운영이 가능하다. 보안 전문가가 타깃의 특성에 맞춰 복잡한 추론이 필요한 정찰 단계에서는 고성능 모델을, 단순 반복 작업이 많은 익스플로잇 단계에서는 경량 모델을 교체하며 사용할 수 있는 구조다. 단일 모델의 편향성이나 특정 API의 장애가 전체 공격 체인을 중단시키는 리스크를 기술적으로 제거했다. 이는 도구의 범용성을 넘어 공격 시나리오의 정교함을 결정하는 선택권을 사용자에게 완전히 넘긴 결과다.

운영 비용과 타깃의 가치를 어떻게 조율할 것인가에 대한 답은 세 가지 운영 모드에 있다. 기본 설정인 eco 모드는 에이전트별로 티어를 차등 적용해 프로덕션 환경에서의 비용 효율성을 극대화한다. 반면 기업의 핵심 자산이나 고가치 타깃을 정밀하게 타격해야 하는 상황에서는 모든 에이전트를 HIGH 티어로 가동하는 max 모드를 선택해 성공률을 높인다. 개발 단계나 CI(지속적 통합) 환경에서는 모든 에이전트를 LOW 티어로 설정하는 test 모드를 통해 불필요한 리소스 소모를 최소화하고 파이프라인의 작동 여부만 빠르게 확인한다. 타깃의 중요도에 따라 연산 자원을 유연하게 배분함으로써 무분별한 API 비용 지출을 막고 검증 효율을 최적화했다. 이는 레드팀 운영의 경제성을 확보해 상시 보안 검증 체계를 구축할 수 있는 기반이 된다.

인증 정보의 유효성에 따라 공격 경로를 자동으로 수정하는 자격증명 인지형 폴백 체인(Credential-aware fallback chain)을 탑재했다. 보유한 자격증명의 우선순위를 미리 설정하면 시스템이 primary 경로에서 권한 부족이나 인증 실패를 겪었을 때 자동으로 fallback 경로를 구성해 공격을 지속한다. 사람이 일일이 로그를 분석해 권한을 확인하고 다음 단계를 결정하던 수동 프로세스를 기계가 직접 판단하도록 자동화한 지점이다. 실행 환경은 macOS(Apple Silicon 및 Intel), Linux(amd64 및 arm64)를 지원하며 Windows의 경우 WSL2(Windows Subsystem for Linux 2)를 통해 구동된다. 네이티브 Windows를 지원하지 않고 WSL2를 택한 것은 리눅스 기반의 보안 도구 호환성을 유지하기 위한 선택이다. Apache-2.0 라이선스로 공개되어 기업이나 연구자가 내부 환경에 맞춰 자유롭게 수정하고 배포할 수 있다. 이제 보안 검증은 단순한 도구의 실행이 아니라 최적의 모델과 자원을 조합하는 전략적 운영의 영역으로 진입했다.