클라우드 보안업체 시스딕(Sysdig)이 AI 에이전트가 주도한 것으로 보이는 랜섬웨어 공격 사례를 처음으로 문서화했다. 테크크런치가 6일(현지시간) 보도한 내용에 따르면, ‘제이드퍼퍼(JadePuffer)’로 명명된 이 공격에서 AI 에이전트는 오픈소스 LLM 애플리케이션 개발 도구인 랭플로(Langflow)의 알려진 취약점을 통해 서버에 침투한 뒤, 프로덕션 환경의 MySQL 서버로 이동해 별도 취약점을 악용, 관리자 권한을 스스로 획득한 것으로 파악됐다.
시스딕의 위협 연구 담당 시니어 디렉터 마이클 클라크는 사이버스쿠프와의 인터뷰에서 이 공격이 1300개 이상의 구성 레코드를 암호화했으며, 랜섬노트 작성과 비트코인 주소 첨부까지 AI가 자율적으로 수행했다고 설명했다. 공격 과정에서 로그인 실패가 발생하자 AI는 이를 31초 만에 스스로 수정했고, 그 과정에서 자연어 주석으로 자신의 추론 과정을 기록해 남긴 것으로 전해졌다.

다만 클라크는 공격의 모든 단계가 AI로만 이뤄진 것은 아니라고 선을 그었다. 공격 대상 선정, 명령제어(C2) 서버 및 탈취 데이터 스테이징 인프라 구축은 여전히 사람이 담당했다는 설명이다. 데이터베이스 침입에 사용된 자격증명 역시 AI가 직접 탈취한 것이 아니라 사전 침해를 통해 별도로 확보돼 공격 조직에 전달된 것으로 파악됐다.
초기 보도에서는 오픈AI·앤트로픽·딥시크·제미나이 등 여러 AI 모델이 공격을 주도한 것처럼 알려졌으나, 클라크는 테크크런치에 이를 정정했다. 발견된 API 키들은 AI 에이전트가 확보한 ‘전리품’의 일부일 뿐이며, 실제로 어떤 모델이 공격을 구동했는지는 확인되지 않았다는 설명이다. 시스딕은 공격을 실행한 구체적 모델이나 시스템 프롬프트, 설정값도 파악하지 못한 상태다. 마이크로소프트 연구원 제프 맥도널드는 별도 분석을 통해 안전장치가 제거된 오픈웨이트 모델이 사용됐을 가능성을 제기하며, 자신의 레드팀 경험상 프론티어 모델의 안전장치는 상대적으로 견고하다고 언급했다.
맥도널드는 이런 공격이 수천~수만 건 규모로 동시다발적으로 이뤄질 수 있다고 경고했지만, 실제로는 표적 선정과 인프라 구축, 자격증명 확보를 매번 사람이 수행해야 한다는 점에서 확산에 병목이 존재한다는 분석도 나온다. 시스딕은 아직 동일 공격 조직이 다른 피해자를 노린 사례는 확인하지 못했다고 밝혔지만, AI 에이전트 운영 비용이 저렴해지고 있어 향후 유사 공격이 늘어날 가능성을 배제하지 않았다.














