AI가 만든 zero-day가 실전에 처음 등장한 날 — 당신의 admin 패널 2FA 로직을 다시 봐야 하는 이유

핵심 요약 (TL;DR)

Google GTIG가 5월 11일 "사이버 범죄자가 LLM으로 직접 작성한 working zero-day exploit이 실제 mass exploitation 캠페인 직전에 차단됐다"고 공식 발표했습니다. 표적은 널리 쓰이는 오픈소스 웹 admin 도구의 2FA 우회 취약점. 바이브코더가 자기 서버 admin 패널을 오늘 다시 감사해야 하는 이유입니다.

어떤 보고서가 떴나

5월 11일, Google Threat Intelligence Group(Mandiant 합병 이후 구글의 주력 위협 인텔리전스 조직)이 "Adversaries Leverage AI for Vulnerability Exploitation, Augmented Operations, and Initial Access" 보고서를 공개했습니다. 지난 1년 보안 업계의 기본값은 "LLM은 백서 reasoning은 되지만 실제 공격 가치는 없다"였습니다. 이 가설이 5/11 보고서 한 장으로 공식 부정됐죠. (원문: cloud.google.com/blog/topics/threat-intelligence/ai-vulnerability-exploitation-initial-access)

GTIG 수석 분석가 John Hultquist는 CNBC 인터뷰에서 이렇게 말합니다. "수년간 우리가 경고해온 그 순간 — 악성 해커가 자기 침투 능력을 AI로 슈퍼차지하는 — 이 도착했다." 보안 업계가 카산드라처럼 외쳐온 시나리오의 첫 영수증입니다.

AI가 만든 exploit은 어떻게 생겼나

표적은 "널리 쓰이는 오픈소스 웹 admin 도구"의 2FA 우회 취약점이었습니다. 정확한 도구 이름은 책임공개 절차 때문에 비공개입니다. 다만 GTIG가 묘사한 패턴은 충분히 구체적이죠.

공격자는 LLM으로 Python exploit 스크립트를 작성했습니다. GTIG가 'AI 작성'으로 판정한 근거는 네 가지였습니다. 교과서적인 Pythonic 포맷, hallucinated CVSS score, 교육용 docstring, 비현실적으로 깔끔한 구조. LLM 학습 데이터 특유의 흔적이라는 거예요.

기술적으로 흥미로운 부분은 따로 있습니다. GTIG는 LLM이 "엔터프라이즈 권한 로직을 완전히 따라가진 못하지만, 개발자의 의도를 contextual reasoning으로 읽어내 2FA 강제 로직과 하드코딩된 예외의 모순을 짚어낸다"고 평가했습니다. 전통 스캐너가 functionally correct로 통과시키는 dormant logic error를 LLM이 표면화한다는 뜻이죠.

쉽게 말해, 코드 한 줄씩 보면 정상이지만 흐름 전체를 보면 "이 경우엔 2FA가 안 걸리네?"를 잡아내는 작업입니다. 사람은 잘하지만 자동화는 어려운 영역. 이걸 LLM이 한다는 게 보고서의 진짜 핵심입니다.

바이브코더가 오늘 봐야 할 지점

가장 가까운 위험은 자기 서버의 admin 패널입니다. Portainer, Webmin, Cockpit, Pi-hole, Adminer류 — 인디 개발자가 자기 사이드프로젝트 서버에 1주에 한 번씩 만지는 도구들이죠. GTIG가 영향받은 도구는 비공개지만, 패턴은 명확합니다. "2FA 강제 + 하드코딩된 예외" 라는 패턴은 같은 카테고리 도구 어디에나 잠재합니다.

오늘 점검할 항목은 세 가지입니다.

첫째, 인증 우회 옵션 점검. 자기 admin 도구에 bypass_auth_for_local, skip_2fa_for_api, admin_token_emergency 같은 플래그가 켜져 있는지 확인하세요. 그리고 그 경로가 외부에 노출되어 있지 않은지 다시 검증하세요. "내부에서만 쓰는 거니까"라는 가정이 흔한 침투 경로입니다.

둘째, 어드민 패널 IP allowlist를 좁히세요. VPN/Tailscale/Cloudflare Zero Trust로 막는 게 가장 빠른 방법입니다. admin 엔드포인트가 0.0.0.0에 노출돼 있다면 그것부터 잘라야 합니다.

셋째, 보안 advisory 구독. 자기가 쓰는 admin 도구의 GitHub Releases와 Security 탭을 RSS로 받아두세요. CVE 발표 후엔 시간싸움이 됩니다. 자동화된 mass exploitation은 발표 후 24~48시간 안에 진행되는 경우가 많습니다.

더 큰 그림 — AI 보안 모델 시장의 변곡점

같은 5월 11일, curl 창시자 Daniel Stenberg는 Anthropic의 보안 특화 모델 Mythos에게 17.8만 줄 C 코드를 감사받고 "본질은 마케팅"이라는 글을 냈습니다. 5건 발견 중 진짜 CVE는 단 1건(severity LOW)이었다는 폭로였죠. 두 사건은 정반대 방향처럼 보이지만 같은 흐름입니다.

공격은 이미 일어났고, 방어 도구는 아직 광고를 따라가지 못합니다.

지난 1년 GPT-5.5-Cyber, Anthropic Mythos, Project Glasswing 같은 보안 특화 모델이 "공격용은 닫고 방어용만 푼다" 라인을 굳혀왔습니다. GTIG 보고서가 그 라인의 의미를 바꿉니다. 이제는 "공격용은 닫혔지만 일반 모델이 공격에 충분히 좋아졌다"가 사실로 확인된 거예요. 다음 분기 방어용 보안 모델 신청자가 폭증할 트리거입니다. 동시에 Stenberg의 폭로는 그 신청이 곧 효과로 이어진다는 보장은 없다는 경고고요.

그래서 바이브코더의 답은 외부 도구가 아니라 자기 코드 표면입니다. 공격 가능한 표면적을 줄이는 게 가장 확실한 방어 — admin 패널 노출 면적, 인증 우회 플래그, 하드코딩된 예외 경로. 5월 11일 보고서가 우리에게 준 가장 실용적인 숙제죠.

FAQ

Q. 내 사이드프로젝트는 작아서 안 노릴 거예요. 정말 봐야 하나요?
A. 이번 캠페인은 mass exploitation이 목표였습니다. 즉 표적이 누구냐가 아니라, 그 admin 도구를 쓰는 모든 인스턴스가 대상이었죠. 작아도 admin 패널이 인터넷에 노출되어 있다면 같은 범위에 들어갑니다.

Q. 어떤 admin 도구가 영향받았는지 어떻게 알 수 있나요?
A. GTIG가 책임공개 중이므로 공식 발표 전까지는 비공개입니다. 안전한 가정은 "내가 쓰는 도구가 그 목록일 수 있다"입니다. IP allowlist 강화와 2FA 예외 플래그 점검은 어차피 모든 도구에 공통적인 베이스라인이고요.

Q. 일반 LLM(Claude·Gemini·GPT)으로도 같은 공격이 가능한가요?
A. GTIG는 어떤 모델인지 명시하지 않았습니다. HN 댓글의 보안 분석가 다수는 "사실상 모든 frontier 모델이 가능한 수준"이라고 추정합니다. 즉 모델 차단으로 해결될 문제가 아니라, 노출된 코드 표면 자체를 줄이는 게 답이 됩니다.