AI가 만든 악성코드, 90여 대 감염… “취약점 방치가 원인”

[서울=뉴스닻] 최승림 기자 = 보안 기업 다크트레이스(Darktrace)가 인공지능(AI)이 생성한 것으로 보이는 악성코드가 실제 공격에 사용돼 90대 넘는 서버를 감염시킨 사례를 발견했다고 밝혔다. 이번 공격은 ‘React2Shell’이라는 보안 취약점을 노린 것으로, 감염된 서버를 이용해 암호화폐를 몰래 채굴하는 이른바 ‘크립토재킹’ 방식이었다. 크립토재킹은 해커가 남의 컴퓨터 자원을 몰래 빌려 가상화폐를 캐는 공격을 뜻한다.

“연구 목적”이라 속여 생성… AI 악용 사례

문제가 된 악성코드는 파이썬으로 작성됐으며, 주석(코드 설명 문장)에 “교육·연구 목적”이라는 문구가 포함돼 있었다. 연구진은 이런 표현과 문장 스타일을 근거로 대형언어모델(LLM)이 생성했을 가능성이 높다고 분석했다. 실제로 AI 생성 여부를 판별하는 도구로 검사한 결과, 상당 부분이 AI로 작성됐을 확률이 높게 나왔다. 전문가들은 “AI에게 연구용이라고 속여 악성 코드를 만들어낸 뒤 실제 공격에 사용했을 가능성이 있다”고 설명했다.

취약한 서버 노려 침투… 모네로 채굴 프로그램 설치

공격자는 인증 설정이 허술한 서버를 찾아 침투한 뒤, CVE-2025-55182(일명 React2Shell)이라는 심각한 보안 취약점을 이용해 원격으로 명령을 실행했다. 이 취약점은 웹 개발에 널리 쓰이는 React.js와 Next.js 환경에서 발생할 수 있다. 이후 오픈소스 채굴 프로그램 XMRig을 설치해 암호화폐 모네로(XMR)를 채굴하도록 설정했다.

다만 공격자의 실제 수익은 약 5달러 수준으로 크지 않았다. 그럼에도 보안 업계는 “AI 덕분에 비교적 낮은 기술 수준의 공격자도 빠르게 공격 도구를 만들 수 있다는 점이 더 큰 문제”라고 지적한다. 다크트레이스는 서버와 소프트웨어를 최신 버전으로 유지하고, 외부에 노출된 시스템의 보안 설정을 점검하는 것이 가장 기본적이면서도 중요한 대응책이라고 강조했다.

[저작권자 ⓒ 뉴스닻. 무단전재·재배포 금지]
최승림 기자 (seunglim.choi@newsdot.net)