TTESays

취약점이 아니라 생산이다: AI 시대의 사이버 공격 경제학

Donghwi Shin, Jin Kwak

Published: 08:00, 13 Mar 2026 (Updated: 02:39, 11 Apr 2026)

💡

Editor Pick
- AI는 사이버 공격의 기술 수준을 높인 것이 아닌 생산 속도를 높임
- 바이브웨어 전략은 탐지 시스템이 아닌 분석가의 시간을 공격
- 사이버전은 정교한 침투가 아닌 대량 생산된 공격의 소모전

APT36과 바이브웨어가 보여준 사이버전의 새로운 경제학

사이버 공격의 역사는 오랫동안 정교함의 경쟁이었다. 공격자는 더욱 복잡한 취약점을 찾고, 더 은밀한 익스플로잇 체인을 설계하며, 더 오랜 기간 탐지를 회피하기 위해 기술을 발전시켜 왔다. 이와 동시에 APT(Advanced Persistent Threat)라는 용어 그리고 국가 지원 해킹 조직이 등장하기 사적했다. 이들은 수년 동안 준비한 공격 인프라와 맞춤형 악성코드를 통해 정부 기관, 군사 조직, 방위 산업, 핵심 기업을 겨냥했다. 그러나 최근 등장한 새로운 전략은 이 전제가 흔들리는 것은 아닌지 생각하도록 만들고 있다. 이는 바로 정교함 대신 속도와 생산량을 선택하는 전략이다.

보안 업계는 이러한 흐름을 설명하기 위해 새로운 개념을 사용하기 시작했다. 바로 “바이브웨어(Vibeware)”다. 생성형 인공지능을 활용해 대량으로 만들어지는 조잡한 악성코드를 의미하는 이 용어는 단순한 기술 트렌드를 넘어 사이버 공격의 경제 구조 자체가 변화될 수 있다는 것을 보여주는 신호일 수 있다.

정교한 공격에서 ‘대량 생산’ 공격으로

APT36(Transparent Tribe)은 최근 공격에서 기존의 전형적인 APT 전략과는 다른 접근 방식을 보였다. 이들은 생성형 AI 코딩 도구를 활용해 거의 매일 새로운 변종 악성코드를 만들어내는 방식을 사용한다. 분석 결과, 이 그룹은 단일 공격 도구를 정교하게 다듬고 고도화하는 일반적인 방식 대신 수많은 변종을 빠르게 만들어 동시에 투입하는 전략을 택하고 있었다. 이 방식은 보안 업계에서 “Malware-A-Day” 모델로 불린다. 이 전략의 목적은 공격 성공률을 높이는 것이 아니다. 대신 방어자의 대응 능력을 마비시키는 것이다.

보안 조직은 새로운 악성코드를 발견하면 이를 분석하고 탐지 규칙을 만들며 보안 제품에 반영하는 과정을 거친다. 그러나 공격자가 매일 새로운 변종을 만들어낸다면 이러한 분석 과정은 끝없이 반복되는 작업이 된다. 이 때문에 일부 연구자들은 이 전략을 다음과 같은 개념으로 설명한다.

"DDoD(Distributed Denial of Detection)"

전통적인 공격이 서버를 마비시키는 DDoS(Distributed Denial of Service)였다면, 바이브웨어는 보안 분석가의 시간을 공격하는 전략이다.

AI가 만든 코드의 특징

흥미로운 점은 바이브웨어로 분류되는 악성코드들이 기술적으로 매우 정교하지 않다는 것이다. 분석된 샘플들에서는 AI 코드 생성의 흔적이 명확하게 나타난다. 대표적인 특징을 정리하면 다음과 같다.

코드 내부에 이모지(📊, 📤, ✅)가 포함된 로그 문자열
데이터 탈취 기능이 존재하지만 명령제어(C2) 서버 주소가 비어 있는 코드
템플릿 변수나 자리 표시자가 그대로 남아 있는 상태
테스트용 디버그 메시지가 제거되지 않은 코드

이는 자연어 프롬프트를 기반으로 코드를 생성하는 AI 개발 방식의 부산물로 보인다. 전통적인 악성코드는 개발자가 상당 기간 코드를 다듬으며 제작했다. 반면 AI 기반 악성코드는 몇 분 만에 만들어지는 일회용 도구에 가깝다. 즉 공격자의 목표는 완벽한 코드가 아니다. 작동만 하면 충분하다. 이러한 접근 방식은 악성코드 제작의 패러다임을 바꾸고 있다. 코드의 품질이 아닌 생산 속도와 변종의 수가 공격 전략의 핵심이 되기 시작한 것이다.

희귀 언어를 이용한 탐지 회피

바이브웨어의 또 다른 특징은 프로그래밍 언어의 다양성이다. APT36이 사용한 악성코드에는 다음과 같은 비교적 드물게 사용되는 언어가 등장한다.

Nim
Zig
Crystal
Rust
Go

이와 같은 전략의 목적은 단순하다. 보안 탐지 시스템의 기준선을 무력화하는 것이다. 많은 보안 솔루션은 수십 년 동안 축적된 데이터를 기반으로 C++, C#, Java, PowerShell 등 주요 언어 환경에 최적화된 탐지 모델을 구축해 왔다. 그러나 기업 환경에서 거의 사용되지 않는 언어로 작성된 프로그램은 이러한 탐지 규칙을 우회할 가능성이 높다. 예를 들어 Nim으로 작성된 프로그램은 자체 런타임과 독특한 바이너리 구조를 가지기 때문에 단순한 정적 분석에서는 정상 프로그램과 악성코드를 구분하기 어려운 경우가 발생한다. 여기에 생성형 AI가 결합되면 상황은 더 복잡해진다. 대형 언어 모델은 동일한 로직을 여러 언어로 자동 변환할 수 있기 때문이다. 결과적으로 공격자는 하나의 악성코드를 기반으로 다국어 변종을 대량 생산할 수 있다.

합법적 서비스 속에 숨는 공격

APT36은 또 하나의 특징적인 전략을 사용한다. 바로 LOTS(Living Off Trusted Services)다. 전통적인 공격에서는 공격자가 직접 운영하는 명령제어(C2) 서버가 사용된다. 그러나 이러한 서버는 비교적 쉽게 차단된다. 바이브웨어 공격에서는 대신 다음과 같은 합법적 서비스가 활용된다.

Google Sheets
Slack
Discord
Firebase

기업 네트워크에서는 이러한 서비스들이 정상적으로 사용되기 때문에 보안 장비가 이를 차단하기 어렵다. 결과적으로 공격 트래픽은 정상적인 업무 트래픽 속에 섞여 탐지 난이도가 크게 상승한다.

AI 공격은 이미 세계적인 흐름

AI 를 활용한 공격은 APT36만의 전략이 아니다. 여러 국가 연계 해킹 조직들도 이미 AI를 공격 인프라의 일부로 활용하고 있다.

MuddyWater(이란)AI를 이용해 웹쉘과 공격 스크립트를 자동 생성
Lazarus Group(북한)딥페이크 화상 회의를 이용한 사회공학 공격
Midnight Blizzard(러시아)사용자 행동에 따라 실행 패턴을 변경하는 AI 기반 로더

이러한 사례는 AI가 단순한 실험 단계가 아니라 실제 사이버 공격 생태계에 편입되고 있음을 보여준다.

사이버전의 새로운 경제학

바이브웨어가 중요한 이유는 기술이 아닌 경제 구조에 있다. AI를 이용하면 악성코드를 만드는 비용은 사실상 0에 가까워진다. 0이 되지 않는다 하더라도 시간과 비용을 상당히 줄일 수 있다. 그러나 이를 분석하고 대응하는 비용은 여전히 높다. 즉 공격자는 거의 비용을 들이지 않고도 방어자에게 막대한 비용을 강요할 수 있다.

Low-cost Unmanned Combat Attack System (LUCAS) Drones(from Wikipedia)

이 구조는 다른 영역에서도 이미 나타나고 있다. 대표적인 사례가 저비용 공격 드론 LUCAS(Low-Cost Unmanned Combat Attack System)다. LUCAS 드론 한 대의 가격은 약 3만~4만 달러 수준이다. 그러나 이를 요격하기 위해 사용되는 패트리어트 미사일은 약 400만 달러, 사드 요격 미사일은 1,200만 달러에 달한다. 이 경우 비용 교환비(Cost Exchange Ratio)는 최대 300배 이상으로 벌어진다.

사이버 공간에서도 동일한 논리가 작동한다. AI로 생성된 악성코드 하나는 몇 초 만에 만들어지지만 이를 분석하기 위해서는 보안 분석가의 시간과 고가의 보안 인프라가 필요하다.

정교함의 시대가 끝나는가

바이브웨어는 공격 기술의 수준을 낮추는 것처럼 보인다. 그러나 실제로는 공격 전략의 수준을 끌어올린 것 또는 효과적인 전략 기획의 산물에 가깝다. 과거 공격의 핵심 능력은 취약점 연구와 익스플로잇 개발이었다. 하지만 바이브웨어 시대에는 핵심 능력이 달라진다. 연구가 아닌 생산과 자동화를 기반으로 하는 생산성의 극대화라 할 수 있다. AI는 이제 악성코드를 만드는 도구가 아니라 공격 산업을 자동화하는 엔진이 되고 있다. 이 변화는 사이버 보안에 중요한 질문을 던진다. 우리는 앞으로 더 정교한 공격을 걱정해야 할까, 아니면 끝없이 쏟아지는 수많은 공격을 걱정해야 할까. APT36의 사례가 보여준 답은 분명하다. 사이버전은 이제 정밀한 암살이 아니라 산업화된 소모전의 형태로 변화할 수 있으며 압살될 수 있다는 것을... 🆃🆃🅔