클라우드 보안업체 시스딕의 위협 연구팀이 사람의 개입 없이 AI 모델이 단독으로 침투부터 자격증명 탈취, 데이터베이스 파괴까지 전 과정을 수행한 랜섬웨어 공격 사례를 공개했다. 연구팀은 이 공격 주체를 ‘JADEPUFFER’로 명명하고, 공격 능력이 사람이 아닌 AI 모델에서 비롯된 최초의 ‘에이전트형 위협 행위자’라고 설명했다.
침투 경로는 AI 애플리케이션 구축 도구인 랭플로우(Langflow)의 알려진 취약점(CVE-2025-3248)이었다. 이 취약점은 비밀번호 없이 서버에서 임의 코드를 실행할 수 있게 하는 결함으로, 랭플로우 측은 2025년 4월 이미 패치를 배포했고 미국 사이버보안·인프라보안국(CISA)도 실제 악용 취약점 목록에 등재해 즉각적인 업데이트를 경고한 바 있다. 그러나 해당 서버에는 패치가 끝내 적용되지 않았고, AI 에이전트는 이 결함을 이용해 침투한 뒤 자격증명을 수집하고 지속 접근 권한을 확보해 별도의 운영용 MySQL 데이터베이스 서버까지 도달했다.
시스딕이 사람의 개입이 없었다고 판단한 결정적 근거는 단 하나의 장면이다. 에이전트가 관리자 계정 생성을 시도했다가 실패하자, 31초 만에 오류 원인을 스스로 진단해 잘못된 계정을 삭제하고 새 계정을 정상적으로 만들어낸 것이다. 연구팀은 사람이 오류 메시지를 읽고 원인을 파악해 새 스크립트를 작성했다면 이보다 훨씬 오래 걸렸을 것이라고 설명했다. AI가 생성한 코드에 특정 데이터베이스를 먼저 삭제하려는 이유를 설명하는 자연어 주석이 포함돼 있었다는 점도 근거로 제시됐다. 사람 공격자는 이런 주석을 거의 남기지 않지만, AI 모델은 반사적으로 이를 작성한다는 것이다.
이 에이전트는 결국 1342개의 설정 항목을 암호화하고 원본 테이블을 삭제했다. 랜섬 노트에는 비트코인 결제와 프로톤메일 주소가 명시됐지만, 복호화 키는 단 한 번만 화면에 표시됐을 뿐 저장되거나 전송된 흔적이 없어 실제로 몸값을 지불해도 데이터를 복구할 수 없는 구조였다. 제시된 비트코인 주소 역시 개발자 문서에 흔히 쓰이는 예시 주소로 확인돼, AI 모델이 학습 데이터에서 그대로 가져온 것으로 추정됐다. 개별 공격 기법 자체는 새로운 것이 없었지만, AI 모델이 이를 하나의 완결된 갈취 작전으로 스스로 엮어냈다는 점이 새로운 위협으로 지적된다.
키퍼 시큐리티의 최고정보보안책임자(CISO) 셰인 바니는 해커드와의 인터뷰에서 이번 사건이 공상과학이라기보다 기계 속도로 벌어진 자격증명 관리 실패로 봐야 한다고 진단했다. 그는 키퍼의 자체 조사에서 조직의 72%가 자격증명 오남용을 실시간으로 탐지하지 못하고, 무단 권한 접근을 몇 시간 뒤에나 알아차린다는 결과를 인용하며, 접근 권한을 시간·업무 단위로 제한하고 비밀정보를 금고에 보관하며 활성 세션을 실시간 모니터링해야 한다고 강조했다.














