2026년 5월 11일, Google 위협 인텔리전스 그룹(GTIG)은 사이버 보안 역사에서 처음으로 범죄 조직이 AI를 활용해 제로데이 익스플로잇을 개발했다는 사실을 공식 문서로 확인했다. 표적은 인기 있는 오픈소스 웹 관리 툴이었고, 공격이 성공했다면 유효한 자격증명을 가진 누구든 2FA를 우회할 수 있었다. GTIG가 캠페인 실행 전에 탐지하여 벤더와 협력해 패치를 완료했지만, 이 사건은 단순한 해프닝이 아니다. AI가 공격 도구로 전환된 첫 번째 공식 기록이다.
GTIG 수석 애널리스트 John Hultquist는 X 게시물에서 이렇게 말했다. “AI 취약점 경쟁이 임박했다는 오해가 있다 또한 현실은, 이미 시작됐다.” 그는 한 마디를 덧붙였다. “우리가 AI와 연결시킬 수 있는 제로데이 하나에, 그 뒤에 아무도 모르는 것들이 훨씬 더 많을 것이다.”
Google은 AI 생성 코드를 어떻게 알아봤나
사실, 이번 취약점은 메모리 손상이나 입력 검증 실패 같은 전통적인 버그가 아니었다. 원본 개발자가 하드코딩한 신뢰 가정이 애플리케이션의 인증 논리와 모순되는 의미론적 논리 오류였다. 기존 스캐너는 이를 잡아낼 수 없다. 크래시나 싱크 포인트, 메모리 손상을 찾도록 설계됐지, 설계 의도와 구현 사이의 모순을 읽지는 못한다. LLM은 다르다. 의도와 구현을 비교하고, 모순을 찾아내고, 자동화된 툴이 정상으로 분류할 잠재적 논리 오류를 끄집어낼 수 있다.
공격자를 드러낸 것은 바로 코드 스타일이었다. 해당 Python 코드에는 마치 모델이 학생에게 한 줄씩 설명하듯 과도하게 친절한 주석이 달려 있었다. 실제 CVE 데이터베이스에 존재하지 않는 버전 번호가 포함된 가짜 CVSS 점수가 삽입돼 있었다. 구조도 너무 깔끔하고 대칭적이었다. 인간 개발자라면 보기 흉한 변수명이나 세 가지 언어로 뒤섞인 주석으로 그 대칭을 반드시 깨뜨렸을 것이다. GTIG는 AI 모델이 취약점 발견과 무기화 양쪽 모두에 관여했다고 높은 신뢰도로 판단했다. 사용된 AI는 Gemini가 아니었고. 2026년 4월 치명적인 취약점을 허용 불가능한 속도로 발견해 Anthropic이 롤아웃을 중단시킨 Claude Mythos도 아니었다. OpenClaw 또는 동급 모델 사용이 유력하게 거론된다.
단발 사건이 아니다: GTIG 보고서가 그린 더 넓은 그림
사실, 이번 제로데이 사건은 더 큰 지도 위의 한 점일 뿐이다. 5월 11일 GTIG 보고서는 국가 행위자와 범죄 조직이 AI를 병렬적으로 활용하는 생태계 전체를 기록하고 있다.
북한 군사 조직 APT45는 AI 모델에 “수천 개의 반복 프롬프트”를 전송해 CVE를 재귀적으로 분석하고 개념 증명을 자동 검증하며. AI 없이는 운용 자체가 불가능한 규모의 익스플로잇 무기고를 구축하고 있다. 중국 연계 행위자 UNC2814는 “전문가 페르소나” 기법으로 Gemini를 탈옥시켜 TP-Link 펌웨어와 OFTP 프로토콜의 원격 실행 취약점을 탐색하는 데 활용한다. 역시 중국 연계인 APT27은 Gemini로 네트워크 관리 애플리케이션을 개발해 트래픽을 주거용 IP를 통해 우회시켰다. 정체를 들키기 어려운 은폐 시스템이다.
범죄 조직 측에서는 러시아 그룹들이 CANFAIL과 LONGSTREAM 두 악성코드 패밀리를 배포했는데. 연구자의 분석을 교란하기 위한 패딩으로 AI 생성 코드가 대거 삽입돼 있었다. 또 ESET이 식별한 Android 백도어 PromptSpy는 Gemini API를 직접 호출해 감염된 기기를 자율적으로 탐색하고. 화면을 실시간으로 해석하며, 다음 행동을 자체 결정한다. 공격자가 원격으로 조종하는 것이 아니라 시스템 상태에 따라 모델이 직접 지휘하는 구조다.
AI-Assisted Attack Timeline 2026
해커는 AI로 어떻게 익스플로잇을 만드나
GTIG가 문서화한 과정은 세 단계로 구성된다. 첫 번째 단계에서 공격자는 타깃 시스템의 소스 코드나 공개 문서를 모델에 입력하고, 버퍼 오버플로우나 인젝션 같은 전통적인 유형이 아닌 논리적 공격 표면을 찾도록 요청한다.
LLM은 개발자처럼 코드를 읽는다. 의도를 파악하고, 의도와 구현을 비교하며, 두 가지가 갈라지는 지점을 찾아낸다. 두 번째 단계에서 모델은 구조화되고 주석이 달린 기능적인 Python 개념 증명(PoC)을 생성한다. 인간 개발자와의 유일한 차이는 주석이 지나치게 교육적이고 CVSS 점수가 날조됐다는 점이다.
세 번째 단계에서 공격자는 통제된 환경에서 PoC를 테스트하고, 경우에 따라 OpenClaw 같은 에이전틱 툴로 검증을 자동화하며, 최종 페이로드를 준비한다. 이 모든 것이 몇 주가 아닌 몇 시간 만에 이루어진다. APT45가 정확히 이 파이프라인을 사용한다. 수천 개의 반복 프롬프트로 CVE를 병렬 분석하고 PoC를 자동 검증한다. 운용 비용은 낮아지고 규모는 커진다. 크립토 영역에서 자율적으로 작동하는 AI 에이전트와 이 역학이 어떻게 맞물리는지 이해하려면, 연결 고리는 LiteLLM이다.
LiteLLM, 크립토 지갑, 그리고 간과된 공급망 위험
LiteLLM은 소프트웨어 애플리케이션을 AI 모델 프로바이더에 연결하는 라이브러리다. 거래소를 관리하거나 지갑을 운용하거나 포트폴리오를 모니터링하는 AI 에이전트를 사용한다면, LiteLLM이 중간에 있을 가능성이 충분히 있다.
TeamPCP는 2026년 3월 오염된 PyPI 패키지를 통해 LiteLLM을 공격했다. SANDCLOCK 자격증명 탈취 악성코드는 빌드 환경에서 직접 AWS 키와 GitHub 토큰을 추출했다. 손상된 버전의 LiteLLM을 시스템에 통합한 개발자라면 거래소 API 키, 웹훅, CI/CD 환경에 설정된 모든 비밀이 노출됐을 가능성이 있다. GTIG가 새로운 패턴으로 지목하는 것이 바로 이것이다. 프론티어 모델 자체는 직접 공격하기 어렵지만, 그 주변을 감싸는 커넥터, 래퍼, API 레이어는 그렇지 않다. 자율적으로 크립토 결제를 수행하는 AI 에이전트를 운용하는 경우, AI 의존성 공급망은 지갑 그 자체만큼이나 공격 표면의 핵심 요소가 됐다.
IMF는 2026년 5월 7일 공식 성명을 통해 AI 시대의 사이버 보안은 IT 부서에 위임할 기술적 문제가 아닌 시스템적 금융 안정성 문제라고 명시했다. NIST는 이미 첫 번째 포스트 양자 알고리즘을 표준화했다. Google은 Big Sleep과 CodeMender를 사용해 공격자보다 먼저 취약점을 자동으로 발견하고 패치한다. GTIG AI 위협 추적기의 다음 업데이트는 2026년 3분기 데이터를 기반으로, 5월 이후 역량 궤적이 얼마나 가팔라졌는지를 보여줄 것이다. Hultquist는 그 데이터가 논의의 판도를 바꿀 것이라고 말했다. 그 경쟁은 누구도 예상했던 것보다 일찍 시작됐다.
