AI가 600대 방화벽을 뚫었다 — GenAI 시대, 아마추어도 해커가 되는 세상

2026년 2월 20일, AWS 수석 보안 책임자 CJ Moses가 사내 위협 인텔리전스 보고서를 공개했다.¹ 내용은 단순했지만 충격적이었다. 러시아어를 쓰는 해커 한 명 혹은 소규모 그룹이 상용 생성형 AI(GenAI) 서비스만을 이용해 55개국에 걸쳐 600대 이상의 FortiGate 방화벽 장비에 침투했다는 것이다. 공격 기간은 2026년 1월 11일부터 2월 18일까지 불과 38일이었다.

이 사건이 특별한 이유는 새로운 취약점이 사용되지 않았다는 점이다. 공격자는 FortiOS의 알려진 버그를 파고든 것이 아니었다. 인터넷에 노출된 관리 포트와 단일 인증(Single-Factor Authentication)으로 보호되는 약한 자격증명, 즉 설정 오류를 공략했다. 이 지극히 기본적인 허점을 AI가 자동으로 찾아내고 규모화하여 이전이라면 수십 명의 팀이 필요했을 작전을 한 사람이 수행했다.

같은 날, IBM X-Force도 2026년 위협 인텔리전스 인덱스를 발표했다.² 인터넷에 노출된 애플리케이션을 통한 초기 침투가 전년 대비 44% 증가했고, 대형 공급망 침해 사건은 5년 새 4배 가까이 늘었다. 두 보고서는 서로 다른 데이터를 들여다봤지만 같은 결론을 가리켰다. 기초 보안의 균열을 AI가 전례 없는 속도로 파고들고 있다는 것이다.

캠페인 전모: 1명이 38일간 55개국을 공략했다

AWS 위협 인텔리전스팀이 이 캠페인을 포착한 것은 우연한 행운이었다. 공격자가 악성 툴킷을 공개 접근 가능한 인프라에 올려두는 실수를 저질렀기 때문이다. 같은 서버에는 AI가 생성한 공격 계획서, 피해 기업의 설정 파일, 자체 제작 도구의 소스 코드가 암호화도 없이 쌓여 있었다. 최악의 작전 보안(OPSEC)이 오히려 연구자들에게 완전한 내부 가시성을 제공한 셈이었다.

공격의 첫 단계는 대규모 스캐닝이었다. 공격자의 툴링은 FortiGate 관리 인터페이스가 열려 있는 주소를 443, 8443, 10443, 4443 포트에서 체계적으로 탐색했다. 관리 포트가 발견되면 흔히 재사용되는 자격증명으로 로그인 시도가 이루어졌다. 침투에 성공한 장비에서는 설정 파일 전체를 추출했다.

FortiGate 설정 파일은 공격자에게 황금 열쇠와 같다. 파일 한 장에 SSL-VPN 사용자 자격증명, 관리자 계정 정보, 내부 네트워크 토폴로지, 방화벽 정책, IPsec VPN 피어 설정이 모두 담겨 있기 때문이다. 공격자는 AI가 작성한 Python 스크립트로 이 설정 파일들을 자동으로 파싱하고 복호화하여 재사용 가능한 자격증명을 추출했다.

침투 후 내부 접근은 VPN을 통해 이루어졌다. 일단 내부 네트워크에 발을 들인 공격자는 Go와 Python으로 작성된 자체 제작 정찰 도구를 실행했다. 도구는 VPN 라우팅 테이블에서 내부 네트워크 대역을 가져와 크기별로 분류하고, 오픈소스 포트 스캐너 gogo로 서비스를 탐색하며, SMB 호스트와 도메인 컨트롤러를 자동으로 식별했다. 발견된 HTTP 서비스에는 오픈소스 취약점 스캐너 Nuclei를 돌려 우선순위가 매겨진 공격 목표 목록을 만들었다.

도메인 장악에는 Meterpreter의 mimikatz 모듈이 쓰였다. DCSync 공격으로 도메인 컨트롤러에서 NTLM 패스워드 해시를 대량 추출했다. 확인된 침해 사례 중 적어도 한 건에서는 도메인 관리자 계정이 FortiGate 설정 파일에서 추출된 평문 패스워드를 그대로 재사용하고 있었다. 이후에는 pass-the-hash/pass-the-ticket 공격과 NTLM 릴레이로 횡적 이동을 시도했다.

공격 시퀀스의 마지막 타깃은 백업 서버였다. 특히 Veeam Backup & Replication(Veeam Backup & Replication) 서버를 집중 공략했다. 백업 서버는 여러 시스템의 자격증명을 보유하고 있고, 이를 파괴하면 피해 기업의 복구 능력이 근본적으로 무력화되기 때문이다. 이 패턴은 랜섬웨어 배포 직전 단계와 일치한다.

취약점이 아닌 설정: AI가 골라낸 공격 벡터

보안 업계는 오랫동안 CVE(Common Vulnerabilities and Exposures) 번호가 붙은 소프트웨어 취약점을 위협의 중심으로 봐왔다. FortiGate만 해도 2024년 CVE-2024-21762 같은 치명적 취약점이 잇따라 발견되어 전 세계 기업들이 긴급 패치에 나선 바 있다. 그런데 이번 공격에서는 알려진 취약점 익스플로잇이 거의 효과를 거두지 못했다.

AWS 보고서는 이 지점을 명시적으로 기록했다. 공격자의 작전 노트에는 여러 CVE가 시도 목록에 올라 있었다. CVE-2019-7192, CVE-2023-27532(Veeam), CVE-2024-40711(Veeam) 등이었다. 그러나 결과는 반복적인 실패였다. 타깃 서비스가 이미 패치되어 있었거나, 필요한 포트가 닫혀 있었거나, 취약점이 해당 OS 버전에 적용되지 않았다. 실제로 공격자의 내부 보고서에는 주요 인프라 타깃이 “잘 방어되어 있고 악용 가능한 취약점 벡터가 없다”는 평가가 남아 있었다.

반면 관리 포트 노출과 약한 자격증명이라는 설정 오류는 수백 건의 침투를 가능하게 했다. 여기서 AI의 역할이 두드러진다. 취약점 익스플로잇은 대상 시스템에 따라 코드를 수정하고 디버깅하는 기술이 필요하다. 공격자가 그 수준에 이르렀을 때는 번번이 막혔다. 그러나 설정 오류를 탐지하고, 자격증명을 추출하고, 표준 침투 후 도구를 실행하는 절차적 작업은 AI가 단계별 지침을 생성하고, 파싱 스크립트를 작성하고, 정찰 도구를 개발하는 방식으로 완벽하게 보완해줄 수 있었다.

IBM X-Force 2026 보고서의 수치는 이 패턴이 이 공격자만의 특징이 아님을 보여준다. 2025년 한 해 동안 공개 접근 가능한 애플리케이션의 취약점 또는 설정 오류를 통한 초기 침투가 전체 사고의 40%를 차지하며 1위 공격 벡터로 올라섰다. 그 중에서도 인증 미적용이 가장 흔한 허점이었다.

AI 조립 라인: 공격 전 단계에 스며든 GenAI

이번 캠페인에서 특히 눈에 띄는 것은 AI가 공격의 특정 단계에만 쓰인 것이 아니라 정찰부터 보고서 작성까지 전 과정에 통합되어 있었다는 점이다. AWS 연구진은 공격자가 최소 두 개의 서로 다른 상용 LLM 서비스를 역할을 나눠 사용하고 있다는 사실을 확인했다.

하나는 주 도구 개발자, 공격 계획가, 작전 보조 역할을 맡았다. 다른 하나는 특정 침투 네트워크 안에서 피벗이 필요할 때 보조 공격 계획가로 사용되었다. 실제로 관찰된 한 사례에서 공격자는 활성 피해 기업의 내부 IP 주소, 호스트명, 확인된 자격증명, 탐지된 서비스 목록 전체를 LLM에 붙여넣고 “현재 도구로 접근하지 못하는 시스템을 장악하기 위한 단계별 계획”을 요청했다.

AI가 생성한 공격 계획서는 단계별 익스플로잇 지침, 예상 성공률, 소요 시간 추정, 우선순위가 매겨진 작업 트리를 담고 있었다. 공격적 AI 에이전트에 관한 학술 연구까지 참조한 계획서였다. 정찰 도구 소스 코드에는 AI가 작성했음을 알 수 있는 흔적이 고스란히 남아 있었다. 함수 이름을 그대로 반복하는 불필요한 주석, 기능보다 포맷에 과도하게 치중한 단순한 아키텍처, 제대로 된 역직렬화 대신 문자열 매칭으로 JSON을 파싱하는 방식 등이 그것이다.

그 결과 공격자의 인프라에는 VPN 연결 자동화, 대규모 스캐닝 오케스트레이션, 자격증명 추출 도구, 결과 집계 대시보드 등 다양한 언어로 작성된 스크립트들이 쌓였다. 이 분량의 커스텀 툴링은 일반적으로 잘 갖춰진 개발팀의 존재를 시사한다. 그러나 실제로는 AI 보조 개발을 통해 혼자서, 또는 극소수 인원이 만들어낸 것이었다.

능력의 한계, AI로 메운 격차

AWS 보고서는 이 공격자가 뛰어난 해커가 아니라는 점도 명확히 했다. 기술 수준은 “낮음에서 중간” 수준으로 평가되었다. 공격자는 표준 오펜시브 도구를 실행하고 루틴 작업을 자동화할 수 있었다. 그러나 커스텀 익스플로잇 컴파일, 실패한 익스플로잇 디버깅, 즉흥적인 문제 해결 능력은 부재했다.

이 한계는 작전 곳곳에서 드러났다. 경화된 환경이나 정교한 방어 조치에 맞닥뜨렸을 때 공격자는 끈질기게 달라붙는 대신 부드러운 타깃으로 이동했다. AI가 제시한 자동화 경로 외의 창의적인 피벗은 시도조차 이루어지지 않았다. 이들의 강점은 기술적 깊이가 아닌 AI가 가져다 준 효율과 규모였다.

다른 시각에서 보면 이것이 핵심 메시지다. 이 공격자가 국가 지원을 받는 APT 그룹이었다면 이미 그런 규모의 작전은 가능했다. 무서운 것은 수십 개국 600대 장비 침투라는 수치가 재정적 동기를 가진 개인 혹은 소수 인원 수준에서 달성되었다는 점이다. AI 이전이었다면 그 규모는 훨씬 더 큰 팀, 더 많은 자원, 더 긴 시간을 필요로 했을 것이다.

IBM X-Force 2026이 그리는 더 큰 그림

이번 AWS 보고서가 한 건의 구체적 캠페인을 기록했다면, IBM X-Force의 2026 위협 인텔리전스 인덱스는 동일한 흐름이 전 세계적으로 가속되고 있음을 데이터로 보여준다.²

가장 주목할 수치는 공개 접근 가능한 애플리케이션 취약점 공격 44% 증가다. 인증 통제 부재와 AI 가속 취약점 탐지가 함께 작용한 결과다. X-Force는 이 벡터를 2025년 1위 초기 침투 경로로 꼽았다. 이는 FortiGate 캠페인이 예외적 사건이 아니라 광범위한 트렌드의 일부임을 의미한다.

공급망 위협도 급격히 커졌다. 2020년 이후 대형 공급망 및 서드파티 침해 사건이 4배 가까이 증가했다. 공격자들이 개발 워크플로와 CI/CD 플랫폼, SaaS 통합에서 신뢰 관계를 악용하는 방식이 주된 원인이었다. AI 코딩 도구의 확산이 코드 파이프라인에 대한 압력을 더욱 키울 것으로 전망되었다.

랜섬웨어 생태계는 더 분산되고 더 위험해졌다. 2025년 활성 랜섬웨어·갈취 그룹은 전년 대비 49% 증가해 109개에 달했다(2024년 73개). 상위 10개 그룹이 차지하는 비중은 25% 줄었다. 기술 장벽이 낮아지면서 소규모·기회주의적 운영자가 늘어났고, 대형 그룹보다 추적이 어려운 구조가 됐다.

AI 서비스 자체도 새로운 자격증명 위험이 됐다. 2025년 한 해 동안 다크웹에서 거래된 ChatGPT 계정 자격증명이 30만 건을 넘었다. 인포스틸러 멀웨어 운영자들이 AI 서비스를 표적 목록에 추가한 결과다. 기업 계정과 비밀번호를 공유하는 개인 ChatGPT 계정이 뚫리면 그 자격증명이 기업 시스템 침투의 우회로가 된다. 이는 FortiGate 캠페인이 활용한 자격증명 재사용 공격 패턴과 구조적으로 동일하다.

기업 보안팀을 위한 방어 체크리스트

AWS 보고서와 IBM X-Force 인덱스가 공통적으로 강조하는 방어 원칙은 첨단 기술이 아니다. AI가 자동으로 찾아내고 공략하는 허점들은 수년 전부터 알려진 기초 문제들이다.

관리 인터페이스 노출 차단

FortiGate를 비롯한 네트워크 장비의 관리 포트(443, 8443, 10443, 4443)는 인터넷에 직접 노출되어서는 안 된다. 관리 접근은 VPN 또는 전용 관리 네트워크를 통해서만 허용해야 한다.

다중 인증(MFA) 필수화

이번 캠페인에서 600대 침투 중 FortiGate 소프트웨어 자체의 취약점이 사용되지 않았다는 사실을 기억해야 한다. 관리자 계정과 VPN 계정에 MFA가 적용되어 있었다면 자격증명을 탈취하더라도 침투가 불가능했을 것이다.

설정 파일 보호

FortiGate 설정 파일이 탈취되면 내부 네트워크 지도가 고스란히 넘어간다. 백업 설정 파일에 대한 접근을 엄격히 제한하고, 설정 내 패스워드가 다른 시스템과 공유되지 않도록 자격증명 분리를 점검해야 한다.

백업 인프라 격리

Veeam 서버를 비롯한 백업 인프라는 일반 프로덕션 네트워크와 격리되어야 한다. 백업 서버 장악이 랜섬웨어 배포 직전에 일어나는 패턴임을 고려하면, 백업 서버 접근 시도를 탐지하는 경보 설정이 특히 중요하다.

패치 주기 단축과 취약점 우선순위화

취약점 익스플로잇이 전체 사고의 40%를 차지한다는 IBM 수치는 패치 관리의 중요성을 다시 한번 상기시킨다. 인증 없이 접근 가능한 공개 서비스의 취약점은 최우선 패치 대상이다.

AI 서비스 계정 모니터링

ChatGPT와 같은 AI 서비스 업무 계정에 기업 이메일과 동일한 패스워드가 사용되고 있지는 않은지 점검해야 한다. 인포스틸러 멀웨어에 의한 AI 서비스 자격증명 탈취가 기업 시스템 침투의 경로가 될 수 있다.

포스처 관리와 지속적 설정 감사

IBM X-Force Red 침투 테스트 데이터에서 설정 오류가 가장 흔한 초기 접근 경로로 확인되었다. 자동화된 클라우드 보안 포스처 관리(CSPM) 도구와 정기적인 수동 설정 감사를 병행해야 한다.

AI와 보안의 비대칭

이번 사건이 남기는 함의는 단순히 “FortiGate 장비를 잘 설정하라”는 수준에 머물지 않는다. 공격자가 AI를 이용해 기초 보안 허점을 스캔하고, 공략하고, 내부에서 이동하는 전 과정을 자동화할 수 있게 됐다. 이는 방어 역량이 일정 수준 이하인 모든 조직이 잠재적 타깃이 된다는 것을 의미한다.

AWS 보고서가 묘사한 공격자는 경화된 환경 앞에서 물러섰다. AI가 아무리 효율을 높여도, 근본적으로 잘 방어된 시스템은 자동화 공격의 경제성을 무너뜨린다. 공격자는 결국 더 쉬운 타깃으로 이동했다.

이것이 지금 기업 보안팀에게 주어진 과제의 핵심이다. AI 기반 공격이 빠르고 광범위해질수록, 기초 보안이 탄탄한 조직은 자연스럽게 공격자의 우선순위에서 밀려난다. 역설적으로, 첨단 AI 위협에 대응하는 가장 효과적인 방법은 관리 포트를 닫고, MFA를 켜고, 패치를 적용하는 오래된 원칙들을 철저히 이행하는 것이다.