AI가 사이버 공격의 도구가 된 지 꽤 됐습니다. 그런데 구체적으로 어느 단계에서, 얼마나 위험하게 쓰이고 있을까요? Anthropic이 1년간 832개 악성 계정을 분석해 MITRE ATT&CK 프레임워크에 매핑한 보고서가 어제(6월 3일) 발표됐습니다. 핵심 내용을 인터뷰 형식으로 정리해봤습니다.
분석 배경이 궁금합니다
Q. 왜 하필 MITRE ATT&CK에 매핑했나요?
MITRE ATT&CK는 전 세계 보안 업계가 사이버 공격 기법을 분류하는 표준 프레임워크입니다. 공격자가 “무엇을” 하는지를 전술(Tactic)과 기법(Technique)으로 체계적으로 정리해두죠. Anthropic은 2025년 3월부터 2026년 3월까지 Claude 사용 정책을 위반해 차단된 계정 중 832개를 골라, 각각의 행위를 ATT&CK에 매핑했습니다. 총 13,873개의 행위가 482개 고유 기법, 14개 전술에 걸쳐 분포돼 있었습니다.
Q. 832개면 전체 차단 계정의 몇 %인가요?
전체 차단 계정의 일부입니다. 기법 매핑을 할 만큼 상세한 증거가 확보된 건 832개뿐이었습니다. 실제 악성 활동 규모는 이보다 훨씬 클 겁니다.
세 가지 핵심 결론
1. AI가 공격자를 더 위험하게 만들고 있다
Q. 가장 많이 관찰된 AI 활용 유형은요?
악성코드 작성이 압도적입니다. 832개 계정 중 560개(67.3%) 가 AI를 악성코드 작성에 활용했습니다. 공격 준비 단계에서 AI가 가장 흔하게 쓰이고 있죠.
하지만 더 우려되는 건 후반 단계의 AI 활용입니다. “횡적 이동(Lateral Movement)“처럼 이미 침투한 네트워크 내부를 탐색하는 고난도 작업에 AI를 쓴 계정도 54개(6.5%) 나 됐습니다. 공격 초기 단계가 아니라 깊은 내부까지 진입한 뒤에도 AI가 활용되고 있다는 뜻입니다.
Q. 위험도 추세는 어떤가요?
분석 기간 전반기(2025.38)에는 중간 위험 이상인 공격자가 33%였습니다. 후반기(2025.92026.3)에는 56% 로 1.7배 증가했습니다. 공격자들이 AI를 활용해 더 정교한 공격을 수행하고 있다는 증거입니다.
2. 공격이 자동화되면서 위험도 분류가 어려워졌다
Q. 기존 위험 평가 방식의 한계가 뭔가요?
전통적으로는 공격자가 사용하는 기법의 수나 종류로 위험도를 평가했습니다. 기법이 많을수록 고위험이라고 보는 식이죠.
그런데 2025년 11월에 적발된 국가 지원 사이버 스파이 공격(GTG-1002) 은 전체 30개 기법, 13개 전술을 사용했습니다. 겉보기엔 “중간 위험” 수준이에요. 하지만 이 공격자는 Claude Code를 자율 운영자로 조종해 전 세계 정부 및 핵심 인프라를 표적으로 삼았습니다. Anthropic의 위험도 평가 시스템에서는 최고 위험 점수 100점 만점을 받았죠.
기법의 개수만으로는 진짜 위험을 포착할 수 없다는 뜻입니다. AI가 여러 공격 단계를 자동으로 연결할 수 있게 되면서, 기존 분류 체계가 무너지고 있습니다.
3. MITRE ATT&CK 프레임워크가 AI 시대에 맞지 않는다
Q. 구체적으로 어떤 점이 부족한가요?
ATT&CK는 인간 공격자의 행위를 기준으로 설계됐습니다. AI가 자율적으로 의사결정하고 체인 공격을 수행하는 행위 패턴은 프레임워크에 명확히 잡히지 않습니다.
예를 들어 GTG-1002는 Claude Code를 “조언자”가 아니라 자율 운영자로 사용했습니다. 인간이 개입하지 않아도 AI가 스스로 공격 체인을 구성하고 실행하는데, 이런 AI-네이티브 행위 패턴은 현재 ATT&CK 범주로 완전히 포착되지 않습니다.
Anthropic은 이 문제를 인지하고 MITRE와 협의를 시작했다고 밝혔습니다. ATT&CK가 AI 시대의 공격 패턴을 반영하도록 진화해야 한다는 주장입니다.
방어자를 위한 시사점
Q. 일반 기업이나 보안팀은 어떻게 대응해야 할까요?
세 가지를 강조하고 싶습니다.
첫째, AI 활용 공격이 후반 단계까지 확대되고 있으니, 초기 탐지만으로는 부족합니다. 네트워크 내부의 횡적 이동 탐지에 더 많은 자원을 투입해야 합니다.
둘째, 기법 수 기반 위험 평가를 재검토해야 합니다. AI가 기법 간 간격을 줄이고 자동화하면서, 적은 수의 기법으로도 치명적인 공격이 가능해졌습니다.
셋째, 프레임워크 자체를 업데이트해야 합니다. Anthropic이 Verizon 2026 DBIR 보고서에 일부 결과를 포함하고 MITRE와 협의를 시작한 건, 업계 전체가 분류 체계를 재정비해야 한다는 합의가 형성되고 있다는 뜻입니다.
정리
Anthropic은 단순히 “AI가 위험하다”는 경고에 그치지 않았습니다. 832개 실제 계정 데이터를 MITRE ATT&CK에 매핑해, AI가 사이버 공격의 어느 단계에서 어떻게 활용되고 있는지를 측정 가능하게 보여줬습니다. 핵심 메시지는 명확합니다. 공격자가 AI를 쓸수록 위험도는 올라가는데, 우리가 그 위험을 측정하는 도구는 아직 거기에 맞춰지지 않았다는 거죠.
이 보고서는 Anthropic 블로그와 Frontier Red Team 블로그에서 전문을 확인할 수 있습니다. 대화형 ATT&CK Navigator 시각화도 함께 공개됐으니, 보안에 관심 있으시다면 꼭 확인해보세요.