AI 사이버 위협의 진짜 변화 — 공격자가 똑똑해진 게 아니라 문턱이 사라졌다

안녕하세요, Tom입니다.

"AI가 사이버 공격을 더 정교하게 만든다"는 문장, 이제 그만 써야 한다고 생각해요. 정확히 틀린 말은 아니지만, 진짜 변화를 가려버리거든요. 제가 보기에 AI가 한 일은 공격을 더 정교하게 만든 게 아니라, 덜 숙련된 사람도 정교하게 만든 거예요. 정교함의 천장이 올라간 게 아니라, 정교함에 도달하는 바닥이 사라진 거죠. 이 둘은 완전히 다른 이야기인데, 우리가 위험을 가늠하던 방식 — 공격자의 스킬을 보고 위협 등급을 매기던 방식 — 을 통째로 무력화시킨다는 점에서 후자가 훨씬 무서워요.

이 직관을 숫자로 떠받쳐 주는 자료가 나왔어요. Anthropic이 AI-enabled cyber threats and MITRE ATT&CK에서, 2025년 3월부터 2026년 3월까지 차단한 악성 사이버 계정 832개를 분석해 MITRE ATT&CK 프레임에 매핑한 결과를 공개했거든요. 일부 결과는 Verizon의 2026 DBIR(데이터 유출 조사 보고서)에도 반영됐다고 해요. 저는 이 글을 "AI가 위험하다"는 또 하나의 경고로 읽지 않았어요. 오히려 우리가 위험을 측정하는 도구 자체가 고장 났다는 고백으로 읽었어요.

문턱이 사라졌다는 증거

먼저 규모를 보면, 832개 계정 중 67.3%가 AI를 멀웨어 개발에 썼어요. 멀웨어 작성은 원래 어느 정도 코딩 실력과 공격 지식이 필요한 작업이에요. 그게 3분의 2에서 일어났다는 건, 멀웨어 제작이 더 이상 "숙련자의 영역"이 아니라는 뜻이에요. 반면 고급 lateral movement(침투한 망 안에서 옆으로 번지며 권한을 확장하는 단계)에 AI를 쓴 계정은 6.5%에 그쳤어요. 이 격차가 핵심이에요. 쉬운 진입은 폭발적으로 늘었는데, 어려운 심화 단계는 아직 소수만 해내고 있다는 거죠.

더 눈에 띄는 건 위험 등급의 이동이에요. medium 이상 위험 행위자의 비율이 조사 기간 상반기 33%에서 하반기 56%로, 약 1.7배 뛰었어요. 1년도 안 되는 사이에 "그럭저럭 위험한 공격자"의 밀도가 절반을 넘긴 거예요. 동시에 공격의 무게중심도 옮겨갔어요. AI 보조 계정 탐색은 8.9% 늘었는데 AI 피싱은 8.6% 줄었거든요. 이건 공격자들이 초기 침투(피싱으로 문 따기)에서 'post-compromise', 즉 이미 들어온 뒤의 단계로 이동하고 있다는 신호예요. 문 따는 건 이제 기본기가 됐고, 진짜 경쟁은 들어온 다음 얼마나 깊이 파고드느냐로 넘어간 거죠.

여기까지만 보면 "그래서 스킬 높은 놈이 제일 위험하겠네"라고 결론짓고 싶어져요. 그런데 Anthropic이 솔직하게 인정한 부분이 바로 거기예요. 스킬 수준과 사용한 기법 수의 상관이 약하더라는 거예요. 가장 덜 숙련된 행위자도 행위자당 16개, 가장 숙련된 쪽도 20개 정도의 기법을 썼어요. 기법 개수로는 둘이 거의 구분이 안 돼요. 플랫폼 선택(Claude Code냐, API냐, chat이냐)도 위험도를 가르지 못했고요. 우리가 흔히 위험의 지표로 쓰던 변수들이 죄다 헛다리였다는 거예요.

제 해석: ATT&CK는 "누가"를 묻는데, AI는 "어떻게"를 바꿨다

저는 이 대목에서 무릎을 쳤어요. MITRE ATT&CK는 본질적으로 공격자의 행동을 전술(Tactic)과 기법(Technique)의 격자로 분해해서, "이 공격자는 어떤 기법들을 썼나"를 카탈로그처럼 정리하는 도구예요. 오랫동안 잘 작동했죠. 왜냐하면 기법의 개수와 종류가 공격자의 숙련도, 그러니까 위험도와 대체로 비례했거든요. 정교한 공격자는 더 많고 더 어려운 기법을 동원했으니까요.

AI는 그 비례 관계를 끊어버렸어요. 이제 초보도 16개 기법을 동원할 수 있어요. 기법 격자를 아무리 채워봐야, 그게 공격자가 얼마나 위험한지를 더는 말해주지 않아요. ATT&CK가 측정하던 건 "공격자가 무엇을 아느냐"였는데, AI 시대의 위험은 "공격자가 무엇을 아느냐"가 아니라 "모델이 대신 무엇을 해주느냐"로 옮겨갔으니까요.

그럼 진짜 위험은 어디에 숨어 있을까요. Anthropic은 그걸 agentic orchestration이라고 불러요. 모델이 공격의 여러 단계를 사람의 개입 없이 스스로 순차적으로 이어 실행하는 능력이에요. 그리고 결정적인 한 줄 — 이 agentic orchestration이 MITRE ATT&CK에는 아예 표현돼 있지 않다는 거예요. ATT&CK의 격자에는 "정찰", "초기 침투", "권한 상승" 같은 칸은 있어도, "이 단계들을 누가 잇느냐 — 사람이냐 모델이냐"를 적을 칸이 없어요. 프레임이 행동의 목록은 잡아내지만, 그 행동들을 자율적으로 엮는 오케스트레이션 레이어는 보이지 않는 사각지대로 빠져나가는 거예요.

이게 왜 치명적인지를 보여주는 사례가 하나 들어 있어요. 2025년 11월에 적발된 국가배후 첩보작전은 기법을 30개밖에 안 썼어요. 기법 개수로 보면 중위험 수준이에요. 그런데 최대 위험점수 100을 받았어요. 기법의 양이 적은데 위험은 최고였다는 건, 위험의 원천이 기법 목록이 아니라 그 기법들을 잇는 방식 — 즉 자율적 오케스트레이션 — 에 있었다는 뜻이에요. ATT&CK 격자만 보고 있었다면 이 작전을 과소평가했을 거예요. 고장 난 계기판으로 정상 고도를 읽고 있던 셈이죠.

이건 제가 전에 Mythos가 32단계 네트워크 공격을 10분 만에 완주한 사건을 다루면서 "사이버보안이 작업증명(Proof of Work)이 됐다"고 썼던 흐름의 연장선이에요. 그때는 모델이 긴 공격 체인을 끝까지 자율 실행할 수 있다는 능력 자체에 놀랐다면, 이번 글은 그 능력을 실제 차단된 832개 계정의 통계로 확인하고, 우리의 측정 도구가 그걸 못 잡는다는 데까지 나아간 거예요.

반론과 한계

물론 이 분석을 무비판적으로 받아들이면 안 돼요. 가장 큰 한계는 표본이 Anthropic이 차단한 계정이라는 점이에요. 즉 Anthropic의 모델을 통과한, 그리고 Anthropic의 탐지망에 걸린 공격자들의 단면이에요. 다른 모델을 쓴 공격자, 아예 탐지를 피한 공격자는 이 832개에 들어 있지 않아요. 67.3%니 1.7배니 하는 숫자들은 "전체 사이버 위협의 모습"이 아니라 "한 회사의 관측창에 비친 모습"이라는 걸 잊으면 안 돼요. 자기 모델의 위험성을 강조하는 게 안전 규제 논의에서 유리하게 작용하는 측면도 있고요.

또 하나, "agentic orchestration이 ATT&CK에 없다"는 주장은 절반만 새로워요. ATT&CK가 자동화 자체를 못 다룬다기보다, 자율적 오케스트레이션을 별도의 위험 차원으로 등급화하는 어휘가 없다는 쪽에 가까워요. 그래서 이게 ATT&CK의 폐기를 뜻하진 않아요. Anthropic도 프레임을 버리자는 게 아니라 MITRE와 협력해 ATT&CK를 AI 행동에 맞게 진화시키겠다고 했어요. 솔직히 말하면 저는 이 협력이 얼마나 빨리, 얼마나 표준으로 자리 잡느냐가 관건이라고 봐요. 사각지대를 발견하는 것과 그걸 메우는 새 격자에 업계가 합의하는 건 전혀 다른 난이도의 일이거든요.

한국 개발자 입장에서

한국에서 보안 모델링을 ATT&CK 기반으로 짜둔 팀이 꽤 많을 거예요. SOC(보안관제) 룰도, 위협 인텔리전스 리포트도 대부분 이 격자를 공용어로 쓰니까요. 제 의견으로는, 당장 ATT&CK를 버릴 필요는 없지만 "기법 개수 = 위험도"라는 무의식적 전제는 지금 점검해 봐야 해요. 침해 대응 보고서에서 기법이 몇 개 매핑됐는지로 심각도를 가늠하고 있다면, 그 기준은 이미 AI 시대엔 신뢰도가 떨어진 지표예요.

대신 한 줄을 추가하길 권하고 싶어요. "이 공격에서 단계 전환이 사람의 손을 거쳤는가, 아니면 자동으로 이어졌는가." 로그에서 단계 간 시간 간격이 비정상적으로 짧거나 일정하다면, 그건 사람이 아니라 모델이 오케스트레이션하고 있다는 신호일 수 있어요. 기법의 목록이 아니라 기법들이 이어지는 속도와 자율성을 보는 눈을, 우리 탐지 룰과 분석 습관에 심어두는 게 지금 할 수 있는 가장 현실적인 대비라고 봐요.

구체적 takeaway

이 글에서 들고 가야 할 건 "AI가 위험하다"가 아니라, 위험을 읽는 좌표를 바꾸라는 거예요. 세 가지를 기록해 두세요. 첫째, 기법 개수로 심각도를 매기는 룰을 의심하라 — 16개를 쓴 초보와 20개를 쓴 숙련자가 구분되지 않는 시대예요. 둘째, "단계 전환의 주체"를 새 지표로 추가하라 — 사람이 이었는지, 모델이 자율적으로 이었는지가 진짜 위험 신호예요. 30개 기법으로 위험점수 100을 받은 11월 첩보작전이 그 증거고요. 셋째, 방어의 무게중심을 초기 침투에서 post-compromise로 옮겨라 — 피싱 차단은 이제 기본기일 뿐, 들어온 뒤의 lateral movement를 탐지하는 데 투자가 가야 해요. ATT&CK를 폐기하라는 게 아니라, 그 격자 위에 "자율성"이라는 새 축 하나를 직접 그려넣으라는 이야기예요.

근거가 된 소식: AI-enabled cyber threats and MITRE ATT&CK (Anthropic), Anthropic Mythos, 32단계 네트워크 공격을 10분 만에