[서울=뉴스닻] 최승림 기자 = 포티넷(Fortinet) 포티게이트(FortiGate) 장비를 노린 AI 기반 대규모 해킹 캠페인에 오픈소스 공격 도구 ‘CyberStrikeAI’가 사용된 정황이 새로 드러났다. 보안업체 팀 시므루(Team Cymru)는 공격자가 자동 스캐닝에 활용한 IP를 추적한 결과, 중국 개발자가 만든 ‘AI 네이티브’ 침투 테스트 플랫폼이 실제 공격 실행에 동원된 것으로 파악했다고 밝혔다.

스캐닝 IP 추적하자… “오픈소스 AI 공격 플랫폼” 확인

팀 시므루는 최근 러시아어권으로 추정되는 공격자가 취약한 포티게이트 장비를 대량 탐색하는 데 사용한 IP 주소를 분석해, 해당 환경에서 CyberStrikeAI가 동작한 정황을 확인했다고 설명했다. CyberStrikeAI는 취약점 탐지부터 공격 체인 분석, 지식 검색, 결과 시각화까지 지원하는 ‘공격형 보안 테스트 도구’로 소개된다.

이 도구는 Go 언어로 제작됐고 100개 이상의 보안 도구를 통합해 자동화된 공격 흐름을 구성할 수 있다는 점이 특징으로 꼽혔다. 팀 시므루는 1월 20일부터 2월 26일까지 CyberStrikeAI를 실행한 것으로 보이는 21개의 IP를 관측했으며, 서버는 중국·싱가포르·홍콩에 주로 분포했다고 밝혔다. 미국·일본·스위스에서도 관련 서버가 확인됐다고 덧붙였다.

아마존 “AI 서비스로 600대 이상 침해”… 55개국 피해

이번 이슈는 앞서 아마존 위협 인텔리전스가 포티게이트 장비를 조직적으로 노린 공격을 공개하면서 알려졌다. 당시 아마존은 공격자가 앤스로픽의 클로드(Claude)와 딥시크(DeepSeek) 같은 생성형 AI 서비스를 활용해 자동화된 공격을 수행했고, 55개국에서 600대 이상 장비가 침해됐다고 밝혔다.

새 분석에 따르면 공격자는 ‘AI를 이용해 공격을 설계·보조’하는 수준을 넘어, AI 기반 자동화 플랫폼(CyberStrikeAI)까지 결합해 정찰부터 침투까지 속도를 끌어올린 것으로 보인다.

개발자 배후 논란… “중국 정부 연계 가능성”

보안 연구자들은 CyberStrikeAI가 중국 기반 개발자(온라인 별칭 ‘Ed1s0nZ’)에 의해 유지·배포되고 있으며, 중국 정부와의 연계 가능성을 제기했다. 해당 계정은 CyberStrikeAI 외에도 랜섬웨어 형태의 도구, 권한 상승 취약점 탐지 도구, 챗GPT ‘탈옥’ 프롬프트 모음 등 공격·우회 성격의 프로젝트를 다수 게시해 왔다는 지적이 나온다.

연구진은 특히 개발자가 중국 보안업체와 교류한 정황을 근거로, 국가 차원의 사이버 작전 생태계와 맞닿아 있을 수 있다고 주장했다. 다만 개발자는 저장소에서 “연구·학습 목적”이라는 문구를 내세운 것으로 전해졌다.

AI 결합 공격 도구 확산… “방어 체계도 압박”

전문가들은 이번 사례가 ‘AI 보조 해킹’의 확산을 보여주는 신호라고 평가한다. 오픈소스 형태로 공개된 AI 공격 플랫폼이 실제 대규모 침해에 활용되면, 숙련도가 낮은 공격자도 자동화된 도구를 통해 빠르게 공격을 실행할 수 있기 때문이다.

보안 업계는 포티게이트 등 네트워크 장비가 한 번 뚫리면 기업 내부망 전체로 공격이 확산될 수 있는 만큼, 장비 업데이트와 외부 노출 점검, 이상 트래픽 모니터링을 강화해야 한다고 강조한다. AI가 공격의 속도와 규모를 키우는 환경에서, 방어 측도 자동화와 선제 대응 체계를 갖추지 못하면 피해가 반복될 수 있다는 경고가 나온다.

[저작권자 ⓒ 뉴스닻. 무단전재·재배포 금지]
최승림 기자 (seunglim.choi@newsdot.net)