대규모 풀 리퀘스트(PR)를 오픈소스 프로젝트 유지관리자에게 제출할 수 있는 AI 에이전트가 향후 주요 소프트웨어 프로젝트를 겨냥한 공급망 공격의 토대를 만들 수 있다고 보안 기업 소켓(Socket)이 주장했다.
이번 주장은 소켓 소속 개발자 놀란 로슨이 2월 초 자신이 유지관리하는 자바스크립트 데이터베이스 파우치DB(PouchDB)와 관련해 ‘카이 그리튼(Kai Gritun)’이라고 자칭한 AI 에이전트로부터 이메일을 받은 뒤 제기됐다.
해당 이메일에는 “나는 자율형 AI 에이전트로, 단순히 대화만 하는 것이 아니라 실제로 코드를 작성하고 배포할 수 있다. 오픈클로(OpenClaw)에서 6건 이상의 PR이 병합됐으며, 영향력이 큰 프로젝트에 기여하고 싶다”라고 적혀 있었다. 이어 “파우치DB나 당신이 유지관리하는 다른 프로젝트의 미해결 이슈를 맡아볼 의향이 있느냐. 품질을 입증하기 위해 작은 작업부터 시작해도 좋다”라고 제안했다.
조사를 진행한 결과, 카이 그리튼의 깃허브 프로필은 2월 1일 생성됐으며 며칠 사이 95개 저장소에 걸쳐 103건의 PR을 생성한 것으로 나타났다. 그 결과 22개 프로젝트에서 23건의 커밋이 이뤄졌다.
PR을 받은 103개 프로젝트 중 상당수는 자바스크립트와 클라우드 생태계에서 핵심적인 역할을 하는, 산업 ‘핵심 인프라’에 해당하는 프로젝트였다. 실제로 개발 도구 Nx, ESLint용 유니콘 정적 코드 분석 플러그인, 자바스크립트 명령줄 인터페이스 Clack, 클라우드플레어 워커스 SDK 등에서 커밋이 반영됐거나 현재 검토가 진행 중이다.
주목할 점은 카이 그리튼의 깃허브 프로필에 AI 에이전트라는 사실이 명시돼 있지 않았다는 점이다. 로슨이 이메일을 직접 받았기 때문에 해당 정체가 드러난 것이다.
평판 ‘파밍’
추가 분석 결과, 카이 그리튼은 오픈클로(OpenClaw) 개인용 AI 에이전트 플랫폼(구 몰트봇·클로디봇)의 설정과 운영, 유지관리를 지원하는 유료 서비스를 홍보하고 있는 것으로 나타났다. 오픈클로는 최근 몇 주 사이 여러 이슈로 주목을 받아왔으며, 그중에는 부정적인 내용도 포함돼 있다.
소켓에 따르면 이는 신뢰할 수 있는 기여자로 인식되기 위해 의도적으로 활동 이력을 만들어내는 전략으로 해석된다. 이른바 ‘평판 파밍(reputation farming)’다. 겉으로는 활발히 활동하는 것처럼 보이면서, 잘 알려진 프로젝트와의 연관성과 기여 이력을 동시에 쌓아 신뢰 기반을 구축하는 방식이다. 소켓은 카이 그리튼의 활동이 악의적이지 않았고 인간 검토를 통과했다는 사실이 이러한 전술의 구조적 의미를 가려서는 안 된다고 지적했다.
소켓은 “순수하게 기술적인 관점에서 보면 오픈소스는 개선을 얻은 셈”이라며 “그러나 그 효율성을 얻는 대가로 무엇을 내주고 있는지 따져봐야 한다”고 분석했다. 이어 “해당 에이전트에 악의적 지시가 있었는지는 본질적인 문제가 아닐 수 있다”며 “신뢰는 빠르게 축적될 수 있고, 이는 영향력이나 수익으로 전환될 수 있다는 점이 분명하다”고 설명했다.
일반적으로 신뢰를 쌓는 과정은 오랜 시간이 걸린다. 이는 악의적 행위자를 일정 부분 걸러내는 완충 장치로 작용해왔다. 2024년 발생한 XZ-유틸스 공급망 공격은 이를 역설적으로 보여주는 사례다. 국가 차원의 개입이 의심된 해당 사건에서 문제의 개발자 지아 탄은 유틸리티에 백도어를 삽입하기까지 수년간 평판을 축적해야 했다.
그러나 소켓은 카이 그리튼 사례의 성공이 동일한 수준의 평판을 훨씬 짧은 시간 안에 구축할 수 있음을 시사한다고 평가했다. 이는 같은 AI 에이전트 기술을 활용해 공급망 공격을 더욱 빠르게 전개할 수 있는 가능성을 의미한다. 더구나 유지관리자가 인간이 쌓은 신뢰와 에이전트형 AI가 인위적으로 만들어낸 이력을 명확히 구분할 방법이 없다는 점도 문제로 지적됐다. AI 에이전트가 생성하는 대량의 PR을 처리하는 것 자체가 부담으로 작용할 수 있다는 분석이다.
소켓은 “XZ-유틸스 백도어는 우연히 발견됐다”며 “다음 공급망 공격은 그렇게 분명한 흔적을 남기지 않을 수도 있다”고 경고했다.
API 보안 기업 월람(Wallarm)의 AI 보안 총괄이자 업계 ‘에이전틱 AI 런타임 보안 및 자기방어(A2AS)’ 프로젝트를 이끄는 유진 닐루는 “소프트웨어 기여 행위 자체가 프로그래밍 가능한 영역으로 바뀌고 있다는 점이 중요한 변화”라고 평가했다.
닐루는 “기여와 평판 구축이 자동화되면 공격 표면은 코드에서 이를 둘러싼 거버넌스 프로세스로 이동한다”며 “비공식적 신뢰나 유지관리자의 직관에 의존하는 프로젝트는 어려움을 겪을 수 있지만, 강력하고 집행 가능한 AI 거버넌스와 통제 체계를 갖춘 프로젝트는 회복력을 유지할 수 있다”고 짚었다.
이어 “장기적인 해법은 AI 기여자를 금지하는 것이 아니라, 출처 검증과 정책 집행, 감사 가능한 기여 기록을 포함한 기계 검증 기반의 소프트웨어 변경 거버넌스를 도입하는 것”이라며 “AI에 대한 신뢰는 기여자의 의도를 추정하는 데서가 아니라, 검증 가능한 통제 장치에 기반해야 한다”고 설명했다.
dl-ciokorea@foundryco.com
Read More from This Article: AI 에이전트, 깃허브서 대량 PR로 신뢰 축적 중···공급망 공격 위험 커지나
Source: News