[AI오늘] 구글이 잡았다, AI가 만든 첫 제로데이 — 북한 APT45가 LLM에 수천 프롬프트 때려박은 흔적 (2026/05/13)

옆집AI입니다. 어제 한 줄 떴어요. "구글이 AI로 만든 제로데이를 처음 잡았다." 무슨 말이냐면, 진짜 해커가 ChatGPT 같은 AI한테 시켜서 공격 코드를 짰고, 그게 실제로 인터넷에 풀리려던 걸 구글이 막았단 얘기예요.

"AI로 해킹? 그게 이미 가능한 거였어?" 저도 처음엔 그랬는데, 이번 발표 자료 뜯어보니까 진짜 살벌하더라고요. 이제 더 이상 "이론상"이 아닙니다.

✨ 3줄 요약

  • 구글 위협인텔리전스(GTIG)가 5월 11일, AI가 직접 짠 것으로 보이는 '제로데이 공격 코드'를 세계 최초로 적발했다고 발표했어요.
  • 표적은 오픈소스 시스템 관리 도구의 2단계 인증(2FA) 우회. 배후로는 북한 연계 APT45가 거론됐고, 수천 건 프롬프트로 자동 취약점 탐색까지 했습니다.
  • 패스키 · 자동 업데이트 · CI 정적 분석 — 오늘부터 켜둘 수 있는 3가지만 챙겨도 절반은 막힙니다.

구글이 잡은 그 코드, AI가 짠 흔적이 너무 또렷했다

5월 11일, 구글 위협인텔리전스 그룹(GTIG)이 보고서를 한 장 던졌어요. 핵심은 "우리가 잡은 이 공격 코드, AI가 만든 게 거의 확실하다"는 거예요. 표적은 인기 오픈소스 시스템 관리 도구. 그 도구의 2단계 인증(2FA)을 우회하는 파이썬 스크립트가 풀리기 직전에 막혔습니다.

왜 'AI가 짠 게 확실'하다고 보는가. 코드에 흔적이 너무 또렷했어요. LLM 학습 데이터 특유의 과한 docstring, 환각으로 추정되는 가짜 CVSS 점수, 교과서적인 파이썬 구조. 사람 해커는 보통 이렇게 안 짭니다. AI에게 시키면 나오는 그 톤 그대로였어요.

구글 측은 "AI가 취약점을 발견하고, 공격 코드까지 작성한 첫 실사례"라고 못 박았습니다. 만약 풀렸으면 한 번에 수많은 서버가 동시에 뚫리는 '대규모 동시 공격(mass exploitation)' 시나리오였어요.

북한 APT45가 LLM을 어떻게 활용했나

배후로 지목된 건 북한 연계 해킹조직 APT45. 이들이 AI 모델에 수천 건의 프롬프트를 반복 전송하면서 다수의 보안 취약점을 동시에 분석하고, 공격 코드의 실행 가능성을 자동 검증하는 방식으로 연구한 정황이 잡혔어요.

쉽게 말하면 "AI한테 1만 번 물어보고 그중 진짜 뚫리는 것만 골라낸다"는 거예요. 사람 한 명이 며칠 걸리던 작업을 AI가 몇 시간으로 줄여줍니다. 공격이 산업화 · 대규모화되는 거죠.

중국 연계 그룹도 비슷한 패턴을 보이고 있다고 구글은 별도로 경고했어요. 한국 입장에선 좀 더 신경 쓰이는 부분이죠. 표적이 '시스템 관리 도구'였다는 점도 아찔합니다. 한 번 뚫리면 그 도구 쓰는 회사 전체가 동시에 무너지는 공급망 공격으로 번질 수 있거든요.

자율형 해킹 시대 — 오늘부터 켜둘 수 있는 3가지

"그래서 일반인은 뭘 해야 해?" 솔직히 우리가 직접 막을 일은 별로 없어요. 하지만 최소한 본인 계정 · 기기가 표적 되는 건 막을 수 있습니다.

첫째, 2FA만 믿지 마세요. 이번에 뚫린 게 정확히 2FA였습니다. 가능한 서비스는 패스키(Passkey) · 하드웨어 보안키로 갈아타세요. 구글 · 애플 · MS는 이미 다 지원해요.

둘째, OS · 브라우저 · 플러그인 자동 업데이트는 무조건 켜두세요. 이번 사건의 핵심도 결국 '패치 안 한 시스템'을 노렸어요. 자동 업데이트만 켜둬도 알려진 취약점의 90% 이상은 막힙니다.

셋째, 개발자라면 SCA(소프트웨어 구성 분석)을 CI에 박으세요. 의존성 라이브러리 자동 스캔, CVE 자동 알림은 이제 옵션이 아니에요. GitHub Dependabot이나 Snyk만 켜둬도 첫 단추는 잠긴 셈입니다.

마무리

"AI가 해킹한다"는 말이 이제 더 이상 SF가 아닙니다. 다행히 같은 AI로 그걸 잡아내는 시대이기도 해요. 우리 입장에선 결국 '기본 보안'을 더 빨리, 더 자동으로 켜두는 게 답입니다. 오늘 패스키 한 개라도 설정해두세요. 30분이면 끝나요.

— 오늘도 옆집AI였습니다 🏠 스마트라이프AI

#AI오늘 #구글GTIG #AI제로데이 #APT45 #북한해킹 #AI보안 #자율형해킹 #2FA우회 #AI뉴스

'AI 뉴스' 카테고리의 다른 글

[AI오늘] 피그마가 SEC에 자수했다 — "우리 AI는 클로드 위에 올라가 있어요, 트럼프가 끊으면 매출 끝" (2026/05/15)  (0) 2026.05.15
[AI오늘] 내 안드로이드 폰이 AI 비서로 바뀐다 — 구글, I/O 앞두고 Gemini로 전면 재편 선언 (2026/05/14)  (0) 2026.05.14
[AI오늘] OpenAI도 결국 컨설팅펌 차렸다 — 4조짜리 '디플로이먼트 컴퍼니' 출범, 앤트로픽은 6분 만에 맞불 (2026/05/12)  (0) 2026.05.12
[AI오늘] AI가 17년 묵은 FreeBSD 제로데이를 혼자 캤다 — Claude Mythos가 Firefox 271건까지 털어버린 충격의 한 주 (2026/05/11)  (0) 2026.05.11
펜타곤·앤트로픽·SpaceX·카카오 다음 다 터졌다 — 2026년 5월 1주차 AI 뉴스 5분 정리 (5/3~5/9)  (0) 2026.05.10