MCP 위장부터 에이전트 하이재킹까지…AI 서비스 공격 6가지 유형

공격자는 과거 파워셸과 같은 기업 내 기본 제공 도구에 의존했던 것과 같은 방식으로, 이제 AI 시스템을 악용해 공격을 수행하기 시작했다.

악성코드에 의존하는 대신, 사이버 범죄자는 기업이 업무에 활용하는 AI 도구를 직접 악용하는 사례를 늘리고 있다. 일부 전문가는 이러한 흐름을 ‘AI 기반 생활형 공격(living off the AI land)’이라고 부른다.

에이전트형 AI 통신 보안 스타트업 헬멧 시큐리티의 최고기술책임자 카우식 샤나디는 “공급망 내 오염된 MCP 서버, 클로드와 같은 정상 모델을 활용한 민감 정보 탈취, 바이럴 에이전트 오픈클로가 의도치 않게 파괴적 행위를 일으킨 사례 등이 나타나고 있다”라며 “문제는 이런 시스템 대부분이 거버넌스나 보안을 충분히 검토하기 전에 배포됐다는 점”이라고 설명했다.

다른 보안 전문가들은 단순한 프롬프트 인젝션에서 ‘에이전트 하이재킹(agent hijacking)’으로의 전환이 AI 위협 환경의 근본적인 변화를 의미한다고 진단했다.

사이버보안 기업 래드웨어의 사이버 위협 인텔리전스 부사장 파스칼 기넨스는 “공격자는 더 이상 단순히 챗봇을 속이려는 데 그치지 않는다”라며 “AI 어시스턴트를 유용하게 만드는 자동화와 메모리 기능을 그대로 악용하는 ‘AI 기반 생활형 공격’을 구사하고 있다”라고 분석했다.

다음은 공격자가 AI 기반 서비스를 악용해 공격을 전개한 사례다.

1. MCP 서버 위장 공격

2025년 9월, 공격자는 액티브캠페인이 보유한 트랜잭션 이메일 서비스 포스트마크를 AI 어시스턴트에 연동하는 기술을 사칭한 가짜 모델 컨텍스트 프로토콜(MCP) 서버를 유포했다.

해당 MCP 서버 패키지는 정상 도구처럼 보였고, 15개 버전 동안 문제없이 작동했다. 그러나 단 한 줄의 코드가 변경되면서 상황이 달라졌다. 비밀번호 재설정 메일, 청구서, 내부 메모 등 민감한 커뮤니케이션이 수일간 은밀히 외부로 유출됐고, 이후에야 침해 사실이 드러났다.

이 악성 패키지는 인기 있는 노드닷제이에스 패키지 레지스트리에서 주당 1,500건의 다운로드를 기록했다. 해당 도구를 사용한 기업은 결과적으로 공급망 공격에 노출됐다.

AI 보안 및 MLOps 플랫폼 기업 조주의 최고경영자 브래드 미클레아는 “이번 사례는 패키지 레지스트리에서 이름을 선점하는 네임스쿼팅의 AI 버전과 같다”라며 “MCP에는 서버 신원을 검증하는 중앙 권한 기관도 없고, MCP 서버와 해당 조직을 암호학적으로 연결하는 장치도 없다”고 설명했다. 이어 “MCP가 배포되기도 전에 신뢰 모델이 무너진 셈”이라고 분석했다.

AI 에이전트와 챗봇이 데이터 소스, 도구, 기타 서비스에 연결할 수 있도록 지원하는 MCP 서버는 최근 다양한 형태의 지속적 공격 표적이 되고 있다. 예를 들어 커서의 내장 브라우저를 겨냥한 공격 사례도 보고됐다. 이에 따라 기업 CISO 사이에서는 MCP 환경을 강화해 위험을 최소화하는 작업이 주요 과제로 부상하고 있다.

에이전트형 AI 거버넌스 플랫폼 아이젠틱 AI의 최고경영자 자흐라 팀사 박사는 “MCP 서버는 AI 에이전트가 작업을 수행할 수 있도록 도구, 메모리, API를 노출한다”라며 “공격자가 오염된 도구나 변조된 커넥터, 악성 검색 소스를 이 체인에 삽입하면 AI 에이전트가 이를 인지하지 못한 채 실행할 수 있다”고 설명했다.

2. AI 플랫폼을 명령·제어 채널로 위장

사이버 범죄자는 AI 플랫폼을 은밀한 명령·제어(C2) 채널로 활용하는 방식도 구사하고 있다. AI 서비스를 프록시처럼 이용해 정상 콘텐츠 흐름 안에 악성 트래픽을 숨기는 수법이다.

전용 C2 서버를 운영하는 대신, 악성코드는 AI 서비스를 통해 명령을 받아오고 데이터를 외부로 유출하도록 설계된다. 이 과정에서 기존 보안 통제를 우회한다.

예를 들어 세사미옵 백도어는 오픈AI 어시스턴트 API 내부에 명령 트래픽을 숨겼다. 악성코드에 대한 지시를 정상적인 AI 개발 활동으로 위장한 것이다.

이 같은 사례는 결코 예외적이지 않다. 오남용 가능성은 광범위하게 존재한다.

실제로 체크포인트 리서치는 마이크로소프트 코파일럿과 그록이 공개 웹 인터페이스를 통해 공격자가 제어하는 URL을 가져오고 그에 대한 응답을 반환하도록 조작될 수 있음을 시연했다. 이러한 동작은 API 키나 인증된 계정 없이도 AI 시스템을 악용할 수 있는 길을 열어준다.

3. AI가 참고하는 외부 도구를 몰래 변조

AI 시스템을 직접 공격하는 대신, 일부 공격은 에이전트가 데이터 처리를 위해 의존하는 하위 의존성을 오염시키는 방식으로 이뤄졌다.

한 사례에서는 손상된 NPM 패키지가 에이전트형 워크플로의 의존성 체인에 삽입됐다.

AI 보안 및 MLOps 플랫폼 기업 조주의 최고경영자 브래드 미클레아는 “이는 솔라윈즈와 같은 전통적인 공급망 공격을 떠올리게 한다”라며 “그러나 에이전트 파이프라인에서 오염된 의존성은 단순히 데이터를 유출하는 데 그치지 않는다. 눈에 띄는 이상 징후 없이 에이전트의 의사결정, 도구 선택, 출력 결과까지 바꿔버릴 수 있다”고 설명했다.

4. 에이전트 취약점 악용

일부 공격자는 기업의 레거시 IT 인프라 구성요소를 악용하는 대신, AI 에이전트 자체의 취약점을 무기화하고 있다.

마이크로소프트 365 코파일럿의 ‘에코리크(EchoLeak)’ 명령 인젝션 취약점(CVE-2025-32711)은 숨겨진 프롬프트 인젝션 지시가 포함된 단 한 통의 이메일만으로도, 사용자 개입 없이 AI 어시스턴트가 내부 파일과 이메일을 외부 서버로 유출할 수 있음을 보여준다.

오픈소스 개인용 AI 어시스턴트 오픈클로에서 발견된 CVE-2026-25253 등의 취약점은 악성 웹사이트가 개발자의 AI 에이전트를 완전히 장악할 수 있는 경로를 제공했다.

침해·공격 시뮬레이션 전문 기업 피쿠스 시큐리티 산하 피쿠스 랩스의 부사장 술레이만 오자르슬란 박사는 “2만 1,000건이 넘는 인스턴스가 탐지됐고, 오픈클로 플랫폼의 스킬 마켓플레이스 중 12%가 악성코드를 유포하고 있는 것으로 확인됐다”고 전했다.

보안 기업 바로니스의 연구진은 마이크로소프트 코파일럿 퍼스널을 겨냥한 공격도 발견했다. 동일한 민감 정보를 두 차례 요청하는 것만으로 내장된 AI 보호 장치를 우회할 수 있었다.

마이크로소프트 코파일럿을 사실상 데이터 유출 도구로 전환시키는 ‘리프롬프트(Reprompt)’ 취약점은 마이크로소프트에 보고됐으며, 마이크로소프트는 패치를 배포해 대응했다.

5. AI 기반 자동화 스파이 활동

2025년 9월, 앤트로픽은 위협 행위자가 ‘클로드 코드’를 사이버 첩보 캠페인의 운영 관리에 악용한 정황을 포착했다.

중국 정부의 지원을 받는 것으로 의심되는 GTG-1002 그룹은 인간이 물리적으로 수행하기 어려운 요청 속도로 클로드 코드를 활용해, 전술적 작업의 80~90%를 독립적으로 수행했다.

공격자는 클로드 코드의 에이전트형 기능을 악용해 스크립트 작성, 표적 조사, 공격 도구 제작 등 일련의 과정을 자동화했다.

사이버보안 스타트업 폴리그래프 AI의 최고경영자 야굽 라히모프는 “공격자는 작전을 수천 개의 작고 개별적으로는 무해해 보이는 작업으로 분해했다”라며 “합법적인 보안 평가의 일부인 것처럼 역할극 형식을 결합해 모델을 설득했다”고 설명했다.

6. 공격 전용 모듈형 AI 플랫폼의 출현

위협 환경은 단순히 챗봇을 악용하는 수준을 넘어, 잔토록스 AI와 같은 전용 무기화 AI 스택을 구축하는 단계로 이동하고 있다.

잔토록스는 범용 대규모언어모델과 달리, 사이버 범죄를 목적으로 설계된 공격 특화 플랫폼이다. 해당 플랫폼은 악성코드 생성, 취약점 익스플로잇 등 다양한 기능 모듈을 포함하고 있다.

래드웨어의 파스칼 기넨스는 “헥스트라이크 AI 모델 컨텍스트 프로토콜(MCP) 통합을 통해 잔토록스는 단순한 ‘보조형’ 해킹을 넘어 완전 자율 에이전트 시스템 영역으로 확장됐다”라며 “이른바 ‘바이브 해킹(vibe hacking)’ 단계로 진입하고 있다”고 분석했다. 헥스트라이크는 원래 윤리적 침투 테스트를 위해 설계된 오픈소스 AI 기반 공격 보안 프레임워크다.

신뢰를 겨냥한 공격

사이버보안 기업 세이페티카의 최고기술책임자 즈비네크 소푸치는 많은 공격자가 더 이상 소프트웨어 취약점 자체를 노리기보다, 조직이 AI에 부여한 신뢰를 공격 대상으로 삼고 있다고 진단했다.

즈비네크 소푸치는 “보안팀은 AI 어시스턴트를 인간 특권 사용자와 동일한 방식으로 다뤄야 한다”라며 “엄격한 통제와 구체적인 모니터링을 적용하고, 무엇이든 안전하다고 전제하지 않는 접근이 필요하다”고 밝혔다.
dl-ciokorea@foundryco.com