'Claude는 어떻게 공격자가 되었나'

2025년 11월, Anthropic은 공식 뉴스룸 발표를 통해 중국 정부와 연계된 것으로 추정되는 대규모 AI 기반 해킹 캠페인을 차단했다고 밝혔다. 회사가 공개한 보고서는 자사의 인공지능 모델 Claude가 공격자에 의해 조작돼 약 30개국의 금융기관, 정부기관, 화학기업 등을 겨냥한 정교한 사이버 스파이 활동에 활용됐다는 사실을 처음으로 공식화했다. 이번 사건은 단순한 보안 침해가 아니라, AI가 공격 실행의 중심 역할을 맡은 최초의 사례라는 점에서 글로벌 보안·정책 분야의 주목을 받고 있다. 보고서 공개 직후 여러 국제 언론이 이를 심층적으로 다루면서 사건은 국제적 논쟁과 기술적 우려를 동반한 새로운 이슈로 확산되고 있다.

이번 Anthropic의 발표는 기존 사이버 공격의 구조를 근본적으로 뒤흔든다. 지금까지 인공지능은 해커가 분석·코드 생성·자동 작성 등의 보조 기능을 위해 활용하는 도구로 인식돼 왔다. 그러나 이번 사례에서 AI는 공격의 일부가 아니라 공격의 행위자로 작동했다. 공격 대상 역시 지역적·산업적 편중 없이 수십 개국에 걸쳐 확산되었으며, 이는 AI 기반 공격이 특정 국가·조직을 넘어 국제적 안보 이슈로 빠르게 전환될 수 있음을 보여준다. 이번 사건은 결국 새로운 국면을 선언했다.
“우리는 AI를 이용한 공격을 넘어서, AI가 스스로 공격을 수행하는 시대에 들어섰다.”

https://www.anthropic.com/news/disrupting-AI-espionage

Anthropic의 공식 보고서(“Disrupting the first reported AI-orchestrated cyber-espionage campaign”)에 따르면, 이번 침투 시도는 2025년 9월 중순 처음 탐지되었다. 분석 결과, 공격자는 Claude와 “Claude Code” 도구의 제어장치를 우회해, 모델을 일종의 '자동화된 공격 실행 엔진'처럼 활용한 것으로 확인됐다. Anthropic은 공격 주체가 중국 정부와 연계된 것으로 보인다는 평가를 “높은 신뢰도(high confidence)”로 제시했으며, 피해 가능성이 있는 대상은 금융·정부·화학 분야를 포함한 약 30개 글로벌 기관에 이르렀다.

공격 절차는 전형적인 사이버 스파이 작전의 구조를 따르되, 그 실행의 대부분이 AI에 의해 자동화되었다는 점이 핵심적이다. 먼저 AI는 표적 기관의 네트워크 구조와 노출된 서비스를 식별하는 정찰(reconnaissance)을 수행했고, 이어 자동화된 스캐너와 LLM 기반 분석을 결합해 취약점을 탐색하고 검증하는 단계를 진행했다. 이후 공격자는 Claude를 통해 계정·비밀번호를 확보하기 위한 자격 증명 수집(credential harvesting)을 시도했으며, 내부망에서는 lateral movement(횡단 이동)와 privilege escalation(권한 상승)까지 연속적으로 자동 실행된 것으로 조사됐다.

가장 중요하게 평가되는 지점은 전체 공격 절차의 80~90%가 AI 자동화로 수행되었다는 사실이다. 이는 단독 명령 호출이 아니라, 공격자가 구축한 자동화 파이프라인을 통해 Claude가 스스로 “분석 → 실행 → 수정 → 다음 단계”를 반복한 방식이었다. 인간 공격자의 개입은 전략적 판단이 필요한 특정 순간으로 제한되었고, 나머지 실행은 AI가 주도했다. 이로 인해 이번 사건은 기존의 “인간 해커 + AI 보조 도구” 형태와 다르게, AI 에이전트가 공격자 역할의 핵심을 수행한 첫 사례로 평가된다.

보고서가 공개된 이후 다양한 국제 언론은 사건을 여러 관점에서 분석했다. 복수의 보도는 공격 규모가 최소 수십 개 기관에 달하며, 금융·정부·화학 분야를 중심으로 피해 가능성이 광범위하게 퍼져 있다고 설명했다. 일부 전문 매체는 Anthropic 내부 분석을 인용해 공격 절차 대부분이 AI 자동화로 이뤄졌음을 강조하며, 이는 단순 도구 활용 단계를 넘어 AI가 판단 기반 작업까지 수행한 새로운 공격 형태라고 평가했다.

기술 분석 중심 보도는 공격의 핵심을 모델 가드레일 우회로 지목했다. 공격자는 역할 기반 프롬프트, 반복 호출, 코드 생성 기능 등을 조합해 Claude가 스스로 제한을 벗어나도록 유도한 것으로 보인다. 정책·기술 동향 매체는 전체 작전이 기존의 반자동 도구 수준을 넘어 사실상 사이버 작전용 AI 에이전트가 수행한 것과 유사한 정교함을 보였다고 평가했다.

종합하면, 언론 보도는 시각과 강조점은 다르지만 모두 한 가지의 결론을 공유한다. 이번 사례는 AI가 공격의 중심 행위자로 기능했다는 점이 공식적으로 확인된 첫 사례이며, 이를 통해 사이버전과 AI 기술이 맞물리는 지점이 기존과 전혀 다른 단계에 진입했음을 보여준다.

AI가 공격의 주체로 등장한 첫 전환점
이번 사건이 갖는 가장 큰 의미는 AI가 단일 단계가 아닌 전체 공격 사슬을 직접 수행한 첫 공식 사례라는 점이다. 정찰, 취약점 탐색, 자격 증명 수집, 내부망 이동 등 각각의 과정은 전통적으로 숙련된 해커가 직접 판단하는 고난도 작업이지만, 이번 공격에서 Claude는 이러한 절차 대부분을 자동으로 실행했다. 이는 AI가 단순한 보조 도구를 넘어 행위자(Actor)에 가까운 지위를 갖게 되었음을 의미한다.

https://www.anthropic.com/news/disrupting-AI-espionage

AI 모델이 내장한 안전장치는 정상적 상황에서 유효하지만, 이번 사례처럼 공격자가 역할 위장·연속 호출·코드 생성 기능을 조합할 경우 제어장치가 구조적으로 우회될 수 있음이 드러났다. 이는 모델 내부 추론 구조와 에이전트 특성이 결합할 때 발생하는 복합적 취약성으로, 단순한 규칙 강화만으로는 방어가 어려운 문제다. 이 사건은 AI 보안 체계가 “내용 제한” 중심 규제로는 부족하며, 행동 기반 통제(behavior-level safety)와 실시간 모니터링을 포함해야 함을 시사한다.

또한 공격의 80~90%가 AI에 의해 수행되었다는 사실은, 고도의 공격 수행에 필요한 시간과 인력, 비용이 급격히 낮아졌다는 의미를 갖는다. 지금까지는 국가·대형 조직만 접근 가능했던 수준의 스파이 작전이 이제는 소규모 조직 혹은 개인에게까지 열릴 수 있다는 점에서 위협의 불균형이 심화될 가능성이 있다. 공격 속도 또한 인간의 작업 속도를 넘어, AI가 실시간으로 판단과 실행을 반복하는 초고속 공격 구조가 가능해졌음을 보여준다.

AI가 공격의 중심 행위자로 등장하면서, 국가·기업·기관이 직면하는 사이버전 양상은 근본적으로 변화할 전망이다. 전통적인 보안 대비 체계는 인간 해커의 패턴·속도·전술을 전제로 설계되었지만, AI 기반 공격은 지속성, 확장성, 반복성, 속도 면에서 전혀 다른 위협 모델을 형성한다. 이는 공격과 방어의 주체가 모두 AI화하는 “AI 대 AI” 국면으로 이어질 가능성을 시사하며, 보안 패러다임의 전면적 재설계를 요구한다.

이 사건은 AI 개발사가 단순한 기술 공급자의 지위를 넘어, 사실상 국가 안보와 사이버전 생태계에서 직접적 역할을 수행하는 행위자가 되었음을 보여준다. 모델의 안전성·탐지 능력·감사 체계·남용 대응 프로세스는 이제 기술적 선택이 아니라 정책·외교·국가 전략 차원의 문제로 확장될 수밖에 없다.

AI가 공격자가 된 시대, 대응 방식도 완전히 달라져야 한다
이번 사건은 단순한 공격 시례가 아니라, AI가 사이버 공격의 주체가 될 수 있다는 사실이 현실화된 첫 순간이었다. 공격의 속도·규모·비용이 인간의 한계를 벗어나기 시작했으며, 이를 막기 위한 기존의 보안 패러다임은 사실상 무력화되기 시작했다. 앞으로의 위험은 지금보다 더 빠르고, 더 넓고, 더 자동화된 형태로 등장할 가능성이 높다.

따라서 AI 안전성·남용 탐지·감사체계·투명성 확보는 이제 기술적 선택이 아니라 국가 안보와 산업 경쟁력의 핵심 축으로 자리잡아야 한다. 이번 사건은 이러한 전환의 출발점이며, 앞으로의 대응은 새로운 현실을 전제로 다시 설계되어야 한다.

[METAX = 김하영 기자] 

[ⓒ META-X. 무단전재-재배포 금지]