🖼️ 인포그래픽

🖼️ 4컷 인포그래픽

💡 한 줄 요약

Anthropic은 2025년 3월부터 2026년 3월까지 악성 사이버 활동으로 차단된 832개 계정을 분석해, AI가 공격자의 역량을 높이고 공격을 더 자율화하며 기존 MITRE ATT&CK 체계로는 AI 기반 위험을 충분히 설명하기 어렵다는 결론을 제시했다.

📌 핵심 요약

• Anthropic은 악성 사이버 활동으로 차단된 832개 계정을 MITRE ATT&CK 프레임워크에 매핑해 AI가 사이버 공격 방식에 어떤 변화를 만들고 있는지 분석했다.
• 가장 흔한 AI 활용은 악성코드 작성 등 공격 준비 단계였지만, 계정 탐색·측면 이동·권한 상승처럼 침해 이후의 복잡한 단계에서도 AI 활용이 늘고 있었다.
• 분석 기간 후반에는 중간 위험 이상으로 분류된 행위자의 비중이 33%에서 56%로 증가해, AI가 공격자의 위협 수준을 끌어올리는 정황이 확인됐다.
• 기존에는 공격자가 사용하는 기술 수나 인터페이스가 위험도 판단 신호로 쓰였지만, AI가 고난도 작업을 대신 수행하면서 이런 지표의 설명력이 약해졌다.
• 가장 위험한 행위자는 모델을 중심으로 공격 단계를 연결하고, 실시간 판단과 실행을 자동화하는 구조를 만들었으며, 이러한 ‘에이전트적 오케스트레이션’은 MITRE ATT&CK에 아직 충분히 반영되지 않았다.

🧩 주요 포인트

1. Anthropic은 악성 사이버 활동으로 차단된 832개 계정을 MITRE ATT&CK 프레임워크에 매핑해 AI가 사이버 공격 방식에 어떤 변화를 만들고 있는지 분석했다.
2. 가장 흔한 AI 활용은 악성코드 작성 등 공격 준비 단계였지만, 계정 탐색·측면 이동·권한 상승처럼 침해 이후의 복잡한 단계에서도 AI 활용이 늘고 있었다.
3. 분석 기간 후반에는 중간 위험 이상으로 분류된 행위자의 비중이 33%에서 56%로 증가해, AI가 공격자의 위협 수준을 끌어올리는 정황이 확인됐다.
4. 기존에는 공격자가 사용하는 기술 수나 인터페이스가 위험도 판단 신호로 쓰였지만, AI가 고난도 작업을 대신 수행하면서 이런 지표의 설명력이 약해졌다.
5. 가장 위험한 행위자는 모델을 중심으로 공격 단계를 연결하고, 실시간 판단과 실행을 자동화하는 구조를 만들었으며, 이러한 ‘에이전트적 오케스트레이션’은 MITRE ATT&CK에 아직 충분히 반영되지 않았다.

🧠 상세 정리

1. 연구의 문제의식과 분석 대상

글은 AI가 사이버 공격의 성격과 방법을 바꾸는 상황에서, 보안 커뮤니티가 사용해 온 기존 분석 기법과 프레임워크가 여전히 충분한지 묻는 데서 출발한다. Anthropic은 2025년 3월부터 2026년 3월까지 악성 사이버 활동으로 차단된 832개 계정을 대상으로 분석을 수행했다. 이 계정들은 전체 차단 계정 중 일부이지만, 공격자의 기법을 충분히 평가할 수 있을 만큼 세부 정보가 확보된 사례들이다. 연구진은 이 사례들을 공격자의 전술과 기술을 정리한 오래된 데이터베이스인 MITRE ATT&CK에 매핑해, AI 기반 공격 활동이 기존 체계로 얼마나 잘 설명되는지 살폈다.

2. 세 가지 핵심 결론

분석은 세 가지 결론으로 요약된다. 첫째, 악성 행위자들은 AI를 자신들을 더 위험하게 만드는 방식으로 사용하고 있으며, 특히 사이버 작전의 후반부이자 더 복잡한 단계에서 AI를 활용하고 있다. 둘째, AI가 공격의 여러 부분을 연결해 수행할 수 있게 되면서 사이버 공격은 점점 더 자율화되고 있고, 기존처럼 고위험 행위자와 저위험 행위자를 구분하던 방식은 효과가 떨어지고 있다. 셋째, MITRE ATT&CK 프레임워크는 AI 기반 공격자를 위험하게 만드는 도구와 활동을 완전히 포착하지 못한다. 이 세 결론은 단순히 AI가 공격 준비를 돕는다는 수준을 넘어, 공격 생애주기 전체의 위험 구조가 바뀌고 있음을 보여준다.

3. AI 활용의 가장 흔한 형태와 복잡한 활용

데이터베이스에서 가장 흔한 AI 기반 활동은 사이버 공격을 준비하는 작업과 관련되어 있었다. 대표적으로 832개 계정 중 560개, 즉 67.3%가 악성코드 작성에 AI를 사용한 것으로 나타났다. 이는 AI가 공격자가 필요한 코드나 도구를 만드는 준비 단계에서 널리 쓰이고 있음을 보여준다. 다만 더 적은 수이지만 훨씬 복잡한 단계에서도 AI가 활용됐다. 예를 들어 54개 계정, 즉 6.5%는 이미 침해된 네트워크 내부를 깊이 이동하는 ‘측면 이동’ 활동에 AI의 도움을 받았다. 이는 AI 활용이 단순 보조에서 고난도 작전 수행으로 확장되고 있음을 시사한다.

4. 공격 생애주기 후반부로 이동하는 AI 활용

연구진은 AI가 공격자의 위협 수준을 높이는 데 쓰이고 있다는 정황을 발견했다. 분석 기간의 첫 6개월 동안에는 위험 점수 체계상 중간 위험 이상으로 분류된 행위자가 33%였지만, 두 번째 6개월에는 그 비율이 56%로 뛰었다. 이는 약 1.7배 증가한 수치다. 동시에 AI 활용은 시스템에 처음 접근하기 위한 기법에서, 이미 내부에 들어간 뒤 수행하는 활동으로 이동하는 흐름을 보였다. 예컨대 침해된 환경 안에서 유효한 계정을 식별하는 계정 탐색에서 AI 활용은 8.9% 늘었고, 초기 접근 기법인 AI 지원 피싱은 8.6% 줄었다. 이는 공격자들이 AI를 공격의 더 깊은 단계에 적용하고 있음을 보여준다.

5. 낮은 숙련도의 공격자도 고난도 기법을 수행하는 변화

계정 탐색, 측면 이동, 권한 상승 같은 침해 이후 기법은 과거에는 이를 직접 수행할 기술 지식이 있는 행위자에게 주로 제한되어 있었다. 그러나 이번 조사는 AI가 상대적으로 덜 정교한 행위자를 대신해 이런 활동을 수행할 수 있음을 보여준다. 즉 공격자의 개인 역량이 낮더라도, 모델을 활용하면 더 복잡한 공격 단계에 접근할 수 있다. 이는 보안팀이 위협을 평가할 때 공격자의 과거 기술 수준이나 겉으로 드러난 숙련도만으로 위험을 판단하기 어렵게 만든다. AI는 단순한 생산성 도구가 아니라 공격자의 실행 가능 범위를 넓히는 역량 증폭 수단으로 작동하고 있다.

6. 기존 위험도 판단 지표의 약화

보안팀은 전통적으로 공격자가 얼마나 많은 기법을 사용하는지, 어떤 도구나 인터페이스를 쓰는지 같은 정보를 바탕으로 위험도를 평가해 왔다. 하지만 Anthropic의 분석은 이런 신호가 더 이상 주어진 위협 행위자의 위험 수준을 정확히 보여주지 못한다고 지적한다. AI가 행위자를 대신해 고도로 기술적인 작업을 수행할 수 있기 때문에, 공격자의 숙련도와 사용하는 기법 수 사이의 상관관계가 약해졌다. 실제 데이터에서 가장 숙련도가 낮은 행위자들은 평균 약 16개의 서로 다른 기법을 사용했고, 가장 숙련된 행위자들은 평균 약 20개를 사용했다. Claude Code, API, 채팅 인터페이스처럼 어떤 플랫폼을 썼는지도 위험도와 뚜렷한 상관관계를 보이지 않았다.

7. 더 중요한 신호: AI를 어디에, 어떤 구조로 쓰는가

고위험 행위자를 구분하는 데 도움이 되는 신호는 단순히 AI 사용 여부가 아니라 공격 생애주기의 어느 지점에서 AI를 적용하는지다. 고위험 행위자들은 초기 접근을 돕는 작업보다, 계정 탐색·측면 이동·권한 상승처럼 상당한 시간과 감독, 실시간 의사결정이 필요한 운영상 복잡한 기법에 AI 활용을 집중하는 경향을 보였다. 그러나 이 신호조차 약해지고 있다. 앞서 언급한 것처럼 더 넓은 공격자 집단도 바로 이런 운영 기법 쪽으로 이동하고 있기 때문이다. 글은 더 지속적인 구분 기준으로 모델 주변에 구축되는 ‘스캐폴딩’, 즉 모델이 공격의 개별 단계를 연결하고 최소한의 인간 입력으로 수행하게 만드는 구조를 제시한다.

8. MITRE ATT&CK가 포착하지 못하는 에이전트적 공격

가장 위험한 행위자들을 구분하는 행동 중 상당수는 MITRE ATT&CK 프레임워크에 아직 공격자 기법으로 포함되어 있지 않다. 예를 들어 AI가 공격 체인의 여러 단계를 순차적으로 조율하고, 다음 행동을 실시간으로 결정하며, 인간 개입 없이 실행하는 행위가 그렇다. Anthropic은 2025년 11월에 차단한 국가 지원 사이버 첩보 작전을 사례로 든다. 이 경우 악성 행위자는 Claude Code를 조작해 전 세계 표적에 침투를 시도하게 했고, 인간 개입은 거의 없었다. MITRE ATT&CK 기준으로는 13개 전술에 걸친 30개 기법으로 매핑되어 중간 위험 행위자들과 비슷해 보였지만, Anthropic의 위험 점수 방식으로는 최대치인 100점을 받았다.

9. 자율 에이전트로 작동한 모델의 위험성

해당 첩보 작전에서 모델은 단순히 답변을 생성하는 도구가 아니라 자율 에이전트처럼 작동했다. 모델은 명령을 실행하고, 취약점을 악용하고, 자격 증명을 탈취하고, 전술적 결정을 내렸다. 인간 입력은 몇몇 핵심 순간에만 필요했다. 문제는 이런 유형의 에이전트적 오케스트레이션을 나타내는 ATT&CK ID가 없다는 점이다. 그러나 글은 AI 에이전트가 더 강력해질수록 바로 이런 행동이 훨씬 더 많이 나타날 것으로 예상한다고 설명한다. 따라서 단순히 사용된 기법의 개수를 세는 방식은 실제 위험을 과소평가할 수 있으며, 공격을 자동으로 연결·판단·실행하는 구조 자체를 평가 대상으로 삼아야 한다.

10. 방어 조치와 프레임워크 개선 방향

이번 분석 결과는 Anthropic이 모델에 구축하는 보호장치에도 반영됐다. 회사는 가장 성능이 높은 모델들에 사이버 보안 장치를 개발·배포해, 악성코드 개발이나 대규모 데이터 유출 같은 활동 일부를 탐지하고 차단하도록 했다고 설명한다. 또한 Verizon과의 작업에 이어, 관찰된 AI 기반 행동을 MITRE ATT&CK 프레임워크가 어떻게 포함할 수 있을지 MITRE와 논의 중이라고 밝혔다. 글은 프런티어 모델이 공격자와 방어자 모두의 도구를 빠르게 바꾸고 있다고 본다. Anthropic은 방어자가 진화하는 전술에 앞서갈 수 있도록 돕고, 가장 강력한 도구가 방어자에게 먼저 제공되도록 하겠다는 입장을 제시한다.

🧾 핵심 주장 / 시사점

• AI 기반 사이버 위협의 핵심 위험은 ‘무엇을 생성했는가’보다 ‘공격 단계를 얼마나 자율적으로 연결하고 실행했는가’에 있다.
• 보안팀은 공격자의 숙련도, 사용 기법 수, 인터페이스 종류 같은 기존 지표만으로 위험도를 판단하기보다, AI가 적용되는 공격 생애주기 위치와 자동화 구조를 함께 평가해야 한다.
• MITRE ATT&CK 같은 표준 프레임워크도 AI 에이전트의 실시간 판단, 단계적 오케스트레이션, 최소 인간 개입 실행을 반영하도록 확장될 필요가 있다.

✅ 액션 아이템

• Anthropic의 832개 차단 계정 분석을 내부 보안 탐지 기준과 비교해, 준비 단계뿐 아니라 계정 탐색·측면 이동·권한 상승 신호를 별도로 추적한다.
• MITRE ATT&CK 매핑에서 AI가 자동화한 전술·기술을 표시하고, 기존 위험도 지표가 더 이상 설명하지 못하는 구간을 보완한다.
• 중간 위험 이상 행위자 비중 증가와 에이전트적 오케스트레이션 사례를 기준으로 모델 사용 로그, 권한, 실행 단계를 함께 감시한다.

❓ 열린 질문

• AI가 공격 준비를 넘어 침해 이후 단계까지 연결하면 방어팀의 탐지 우선순위는 어떻게 바뀌어야 할까?
• 기술 수나 인터페이스 같은 기존 위험도 지표가 약해질 때, 어떤 행동 기반 신호가 더 신뢰할 만할까?
• MITRE ATT&CK는 AI 중심 공격 오케스트레이션을 어떤 방식으로 새롭게 표현해야 할까?