AI 기반 사이버 위협 1년치 분석: 우리가 알게 된 것들

프론티어 레드팀 뉴스레터를 구독해 보세요!

Anthropic 팀의 최신 레드팀 연구와 발견 내용을 받아볼 수 있어요.

AI가 사이버 공격의 성격과 방식 자체를 확 바꿔놓으면서, 보안 커뮤니티에서 오랫동안 써온 기술이나 프레임워크들이 과연 잘 버텨줄지 궁금해졌어요.

Anthropic 팀은 이번 새 보고서에서 그 질문에 대한 답을 찾아봤어요. 2025년 3월부터 2026년 3월까지 악성 사이버 활동으로 차단된 계정 832개를 분석하고, 이를 사이버 공격자들이 사용하는 전술과 기술의 오랜 데이터베이스인 MITRE ATT&CK에 매핑해 봤어요. 이 결과 중 일부는 Verizon의 2026년 데이터 유출 조사 보고서 (DBIR)에도 실었는데, 여기서는 좀 더 자세한 분석 내용을 공유하려고 해요. 이 832건은 해당 기간에 차단된 전체 계정 중 일부에 불과하지만, 공격자들의 기술을 철저히 평가할 만큼 충분한 정보가 있었던 사례들이에요.

이번 분석에서 세 가지 주요 결론을 얻을 수 있었어요.

아래에서 각 결론에 대한 요약을 살펴볼게요. 더 자세한 내용은 Anthropic의 프론티어 레드팀 블로그에서 확인하실 수 있어요.

Anthropic 팀 데이터베이스에서 AI가 가장 많이 활용된 활동은 사이버 공격을 준비하는 데 관련된 것들이었어요. 예를 들어, 악성코드를 작성하는 경우(조사한 832개 계정 중 560개, 즉 67.3%가 AI를 이 목적으로 사용했어요)가 대표적이죠. 좀 더 복잡한 활동에 AI를 쓰는 공격자는 수가 적었는데, 예를 들어 832명의 공격자 중 54명(6.5%)이 침투한 네트워크 깊숙이 이동하는 '측면 이동(lateral movement)'을 돕는 데 AI를 활용했어요.

Anthropic 팀은 AI가 공격자들의 위협 수준을 높이는 데 사용되었다는 일관된 증거를 발견했어요. 분석 첫 6개월 동안에는 공격자의 33%가 Anthropic 팀의 위험 점수 시스템상 중간 위험 이상으로 분류되었지만, 다음 6개월 동안에는 그 비율이 56%로 껑충 뛰었죠. 대략 1.7배 증가한 셈이에요.

Anthropic 팀이 연구한 기간 동안 공격자들의 AI 사용 방식은 시스템에 초기 접근하는 기술에서, 일단 시스템 내부에 들어간 후 수행되는 활동으로 바뀌는 경향을 보였어요. 예를 들어, 침투된 환경 내에서 유효한 계정을 식별하는 '계정 발견(account discovery)'에 AI를 사용하는 경우는 8.9% 증가한 반면, 시스템 접근을 위한 흔한 기술인 AI 보조 피싱은 8.6% 감소했어요. 이는 공격자들이 공격 라이프사이클의 더 깊은 단계에 AI를 점점 더 많이 적용하고 있다는 것을 시사해요.

이런 종류의 “침투 후(post-compromise)” 기술은 예전에는 이를 수행할 기술적 지식이 있는 공격자들만 쓸 수 있었어요. 하지만 Anthropic 팀의 조사를 보면, 이제 AI가 덜 정교한 공격자들을 대신해서 이런 활동들을 수행할 수 있게 되었다는 걸 알 수 있어요.

보안 팀들은 사이버 공격자의 위험 수준을 어떻게 평가할까요? 전통적으로는 공격자가 얼마나 많은 다양한 기술을 사용하는지, 어떤 도구나 인터페이스를 쓰는지 같은 정보를 활용해왔어요. 하지만 Anthropic 팀의 분석에 따르면, 이런 신호들은 더 이상 특정 위협 행위자의 위험 수준을 정확하게 보여주지 못한다고 해요.

이제 AI가 공격자를 대신해서 고도로 기술적인 작업들을 수행할 수 있게 되면서, 위협 행위자의 기술 수준과 그들이 사용하는 기술의 수 사이에는 거의 상관관계가 없어요. Anthropic 팀의 데이터셋에서 가장 기술이 부족한 공격자들은 평균 약 16가지의 다른 기술을 사용했고, 가장 숙련된 공격자들은 약 20가지를 사용했거든요. 마찬가지로, 사용된 특정 플랫폼(클로드 코드, API, 또는 채팅 인터페이스)도 공격자의 위험 수준과 관련이 없었어요.

오히려 고위험 공격자를 구별하는 데 자주 도움이 되는 것은 공격 라이프사이클의 어느 단계에서 AI를 적용하느냐 하는 점이에요. 예를 들어, 이들은 시스템에 초기 접근하는 단순한 작업보다는 계정 발견, 측면 이동, 권한 상승처럼 수행하는 데 상당한 시간, 감독 또는 실시간 의사 결정이 필요한, 더 운영적으로 까다로운 기술에 AI 사용을 집중하고 있었어요.

하지만 이런 신호마저도 이미 희미해지고 있어요. 이전 섹션에서 논의했듯이, 더 많은 공격자들이 고위험으로 분류되면서 그런 운영 기술들이 점점 더 보편화되고 있거든요. 더 오래가는 차별점은 공격자들이 모델 주변에 구축하는 '스캐폴딩(scaffolding)' 유형이에요. 고위험 공격자들은 모델이 사이버 공격의 개별 단계를 서로 연결하고 최소한의 인간 입력으로 이를 수행할 수 있도록 하는 아키텍처를 설계해요.

가장 위험한 공격자들을 구별하는 많은 행동들—예를 들어 AI를 사용해서 공격 체인의 여러 단계를 순차적으로 조율하고, 다음에 무엇을 할지 실시간으로 결정하며, 인간의 개입 없이 실행하는 것들—은 MITRE ATT&CK 프레임워크에 공격자 기술로 아직 포함되어 있지 않아요.

Anthropic 팀이 2025년 11월에 저지한 국가 지원 사이버 첩보 작전을 한번 생각해 보세요. 이 경우, 악성 행위자는 클로드 코드(Claude Code)를 조작해서 전 세계의 목표물에 침투를 시도했고, 사람의 개입은 거의 없었어요. 이를 MITRE ATT&CK 프레임워크에 매핑해보면, 이 공격자는 13가지 전술에 걸쳐 30가지 기술을 사용했는데, 이건 Anthropic 팀 데이터셋에 있는 많은 중간 위험 공격자들과 비슷한 수준이었어요. 분명히, 이 공격자가 사용한 기술의 수에만 초점을 맞추는 것은 그들이 실제로 얼마나 위험했는지를 과소평가하는 셈이죠. (반대로 Anthropic 팀의 위험 점수 방법론을 이 공격에 적용하면 최대 위험 점수인 100점을 받았어요.)

그 공격에서 모델은 자율 에이전트처럼 작동했어요. 명령을 실행하고, 취약점을 악용하고, 자격 증명을 훔치고, 전술적 결정을 내렸죠. 몇몇 중요한 순간에만 사람의 입력이 필요했을 뿐이에요. 이런 에이전틱(agentic) 조율 유형에 대한 ATT&CK ID는 아직 없지만, AI 에이전트가 더 유능해지면서 Anthropic 팀이 훨씬 더 많이 보게 될 행동들이 바로 이런 것들이에요.

이번 분석 결과는 Anthropic 팀이 모델에 구축하는 안전장치에 큰 도움이 되었어요. 예를 들어, Anthropic 팀은 가장 유능한 모델에 사이버 안전장치를 개발하고 배포해서, 악성코드 개발이나 대량 데이터 유출 같은 여기서 발견된 일부 활동들을 탐지하고 차단하고 있어요. Verizon과의 협력에 이어서, Anthropic 팀은 MITRE와 ATT&CK 프레임워크가 Anthropic 팀이 관찰한 AI 기반 행동들을 포함하도록 어떻게 발전할 수 있을지에 대해 논의 중이기도 해요.

프론티어 모델들은 공격자와 방어자 모두가 사용할 수 있는 도구들을 빠르게 변화시키고 있어요. Anthropic 팀은 이런 진화하는 전술에 방어자들이 앞서나갈 수 있도록 돕고, 가장 강력한 도구들을 방어자들에게 먼저 제공하는 데 전념하고 있어요. Anthropic 팀은 프로젝트 글래스윙(Project Glasswing)에서, 그리고 여기서 수집한 것과 같은 데이터셋에서, 그리고 다른 사이버 보안 활동들에서 배우는 것들을 계속해서 공유할 예정이에요.

Anthropic 팀의 레드 블로그 게시물에서는 방어자들이 AI 기반 위협에 앞서 나갈 수 있도록, 공격자들이 사용한 기술들을 인터랙티브하게 시각화한 자료를 공유하고 있어요.

Anthropic 팀은 프로젝트 글래스윙을 15개국 이상의 약 150개 신규 기관으로 확장하고 있어요.

Anthropic은 증권거래위원회에 S-1 등록 신청서 초안을 기밀리에 제출했어요.

Anthropic 팀의 최신 레드팀 연구와 발견 내용을 받아볼 수 있어요.