발표에서 확인된 핵심 사실
보안 담당자는 지금까지 패치되지 않은 취약점을 일일이 찾아내고 설정 오류를 막는 수동적인 방어 체계에 의존했다. 하지만 공격자가 타깃을 스스로 분석해 전략을 수립하는 자율형 도구를 갖게 되면 기존의 방어 속도는 의미를 잃는다. 토론토 대학교, 벡터 연구소, 케임브리지 대학교 연구진은 오픈웨이트 소형 언어모델(sLLM)을 활용해 이러한 자율형 AI 웜의 개념 증명(PoC)에 성공했다. 이 웜은 기존의 공격 도구처럼 고정된 익스플로잇(취약점 공격 코드) 목록에 의존하지 않는다. 대신 조우하는 각 타깃의 환경을 스스로 분석하고 어떻게 공격할지 추론하며 즉석에서 전략을 수립하는 방식으로 작동한다. 이는 공격자가 타깃의 보안 수준을 실시간으로 파악해 맞춤형 공격을 수행할 수 있음을 뜻한다.
이 모델은 학습 데이터의 기준 시점인 컷오프(Cutoff) 이후에 공개된 최신 취약점까지 런타임에 파악해 공략하는 능력을 보였다. 웜이 실행 중에 공개 보안 권고문을 직접 읽고 정보를 파악해 Copy Fail, Dirty Frag, Marimo RCE 같은 최신 취약점에 작동하는 익스플로잇을 스스로 제작한다. 나아가 예기치 못한 실패가 발생했을 때 일반적인 추론 능력을 사용해 원인을 진단하고 해결책을 찾아내는 능력까지 갖췄다. 자신의 소스 코드 내 IP 차단 목록을 스스로 수정하거나 체크 로직의 버그를 제거하는 자가 진단 과정이 여기에 포함된다. 공격 도구가 실행 중에 스스로 결함을 수정하며 전파 효율을 극대화하는 구조를 완성했다.
기존 방식과 달라진 지점
상용 AI 서비스는 서버 단의 필터링으로 유해한 요청을 차단하지만, 이번 자율형 웜은 모델 자체를 타깃 환경 내부로 옮겨 이 경계를 무너뜨린다. 웜은 감염시킨 기기 중 GPU(그래픽 처리 장치)가 탑재된 장치를 하이재킹해 훔친 연산 자원으로 모델을 로컬에서 직접 실행한다. 모델을 직접 호스팅할 수 없는 IoT(사물인터넷) 센서 같은 저사양 기기는 네트워크 상류에 있는 감염된 GPU 노드로 추론 쿼리를 라우팅해 처리하는 계층적 구조를 취한다. 이는 상용 AI 플랫폼이 구축한 가드레일과 통제 조치가 전혀 닿지 않는 독립적인 공격 실행 환경을 구축해 보안 필터를 무력화한 결과다.
기존 보안 체계가 알려진 공격 패턴을 막는 데 집중했다면, 이제는 적대적 세력이 취약점을 찾기 전 인프라의 약점을 먼저 발견하는 선제적 대응으로 전환해야 한다. 조직은 AI 지원 자동화 모의 침투 및 퍼징(Fuzzing, 무작위 데이터를 입력해 소프트웨어 오류를 찾는 테스트) 도구를 활용해 인프라 내의 악용 가능한 약점을 먼저 발견하고 패치하는 작업을 우선순위에 둔다. 동시에 경계 내부의 어떤 요청도 신뢰하지 않고 모든 접근에 대해 지속적인 인증을 요구하는 제로 트러스트(Zero-trust) 원칙을 적용한다. 여기에 침투 성공 시 피해가 확산되는 범위를 물리적으로 제한하는 마이크로 세그멘테이션(Micro-segmentation, 네트워크를 세부 단위로 분할하는 기술)을 결합해 웜의 확산을 실질적으로 억제한다. 로컬 실행 환경의 위험성을 인지하고 네트워크 분할을 통해 전파 경로를 원천적으로 차단해 피해 규모를 최소화한다.
기술이 실제로 작동하는 방식
보안 담당자가 취약점 하나를 패치하는 속도보다 공격 코드가 전파되는 속도가 압도적으로 빨라지는 시점이 왔다. 연구진은 알려진 취약점과 설정 오류, 흔한 약점을 가진 Linux 서버, Windows 기기, IoT 장치 등 총 33개 호스트로 구성된 격리 테스트 네트워크에서 15회의 독립적인 실험을 수행했다. 실험 결과 이 웜은 전체 호스트의 약 62%에 달하는 감염 및 전파 비율을 기록했다. 웜은 평균적으로 31.3개의 취약점을 정확히 식별하는 것에서 시작해, 23.1개 호스트를 공격하여 권한을 상승시켰으며, 최종적으로 20.4개 호스트로 전파되는 데 성공했다. 자동화된 분석과 공격 전략 수립이 결합하면 관리자가 인지하기도 전에 네트워크 전체가 무너지는 시간이 극도로 단축된다.
개별 익스플로잇(Exploit, 취약점 공격 코드) 시도의 성공률은 44% 수준에 머물렀다. 이는 현재 세대 단일 GPU(그래픽 처리 장치) 모델이 가진 연산 한계로 인해 발생하는 현상이다. 실패의 주된 원인은 잘못된 공격 전략을 세웠기 때문이 아니라, 전송되는 페이로드(Payload, 데이터)의 형태 자체가 결함이 있었기 때문이다. 웜은 특히 웹 애플리케이션의 복잡한 구조나 Windows의 명령 환경, 그리고 정밀한 문자열 조작이 필요한 페이로드 구문 처리 과정에서 실행상의 어려움을 겪었다. 이는 모델이 전략적으로는 올바른 방향을 잡았더라도 실제 실행 가능한 코드로 변환하는 정밀도에서 한계가 있음을 보여준다. 모델의 추론 능력이 정교해질수록 단순한 설정 오류를 넘어 복잡한 애플리케이션 로직까지 공략하는 정밀 타격의 성공률이 높아진다.
보안 담당자가 취약점을 수동으로 메우는 속도는 로컬에서 스스로 진화하는 AI 웜의 전파 속도를 더 이상 앞지를 수 없다. 감염된 기기의 GPU를 점유해 최신 보안 권고문까지 런타임에 반영하는 구조는 상용 AI의 가드레일을 무용지물로 만든다.
이제는 개별 진입점의 방어보다 네트워크를 세밀하게 분리해 전파 경로를 차단하는 마이크로 세그멘테이션과 제로 트러스트 도입을 서둘러야 한다. 모델의 추론 능력이 공격자의 실시간 무기가 된 환경에서, 모든 연결을 기본적으로 불신하는 아키텍처 설계가 보안의 최후 보루가 된다.
