랜섬웨어를 바이브코딩했더니 — 몸값을 내도 복구할 수 없는 코드가 탄생했다

핵심 요약 (TL;DR)

사이버 범죄 그룹이 AI 도구를 활용해 랜섬웨어 Sicarii를 만들었지만, 암호화 키를 즉시 폐기하는 치명적 버그 때문에 피해자가 돈을 내도 데이터를 복구할 수 없게 됐습니다. AI가 만든 코드를 검증 없이 배포하면 어떤 일이 벌어지는지 보여주는 극단적 사례입니다.

돈을 내도 복구가 안 된다

2025년 12월, 다크웹에 Sicarii라는 랜섬웨어 서비스가 등장했습니다. 이스라엘 상징을 내세웠지만, 보안 기업 Halcyon은 이들을 친이란(Pro-Iranian) 성향으로 분류했고, Check Point Research는 히브리어 콘텐츠가 기계 번역이라고 분석했습니다.

문제는 랜섬웨어의 핵심 로직에 있었습니다. Sicarii는 파일을 암호화할 때마다 새로운 RSA 키 쌍을 생성한 뒤, 복호화에 필요한 프라이빗 키를 즉시 폐기해버렸습니다. 금고에 물건을 넣고 열쇠를 바다에 던진 셈이거든요. 피해자가 몸값을 지불해도, 공격자가 제공하는 복호화 도구를 써도, 데이터 복구는 물리적으로 불가능했습니다.

AI가 만든 코드, 누가 검증하는가

Halcyon은 이 랜섬웨어에 AI 보조 도구가 사용됐을 가능성을 "중간 수준의 확신(moderate confidence)"으로 평가했습니다. 운영자 스스로도 유출 사이트 개발에 AI를 사용했다고 인정한 바 있습니다. 랜섬웨어 핵심 코드 자체의 AI 사용 여부는 확정이 아닌 추정이지만, 본질은 같습니다 — 누군가 코드를 제대로 검증하지 않았다는 것.

암호학에서 프라이빗 키를 폐기하면 복호화가 불가능하다는 건 기초 중의 기초입니다. 이걸 놓쳤다는 건 코드 작성자가 암호학을 이해하지 못했거나, AI가 생성한 코드를 그대로 배포했거나, 아마도 둘 다일 겁니다. 2026년 3월, 운영자는 BQTLock이라는 새 브랜드로 이전을 지시하며 사실상 실패를 인정했습니다.

여러분의 코드에 숨은 "폐기된 키"는 무엇인가요?

이 사례가 범죄자의 이야기라서 먼 나라 일처럼 느껴질 수도 있습니다. 하지만 본질은 다르지 않습니다. AI가 생성한 코드를 검증 없이 프로덕션에 올리면, 의도와 정반대의 결과가 나올 수 있다는 것. 인증 로직이 거꾸로 짜여 있거나, 민감한 데이터가 암호화 없이 저장되거나.

바이브코딩의 속도는 강력한 무기지만, 속도에 취해 검증을 건너뛰는 순간 그 무기가 자신을 향합니다. 특히 암호화, 인증, 결제 처리 같은 "한 번 잘못되면 되돌릴 수 없는" 영역에서는요. 여러분의 코드에서 "폐기된 프라이빗 키"는 어떤 형태로 숨어 있을까요?

FAQ

Q: AI 생성 코드의 보안 검증은 어떻게 하나요?

최소한 핵심 로직(인증, 암호화, 권한 관리)은 반드시 직접 리뷰해야 합니다. AI에게 "이 코드의 보안 취약점을 찾아줘"라고 다시 물어보는 것도 유효한 첫 번째 방어선입니다.

Q: 바이브코딩에서 가장 위험한 영역은?

암호화, 인증, 결제 처리입니다. 이 영역만큼은 AI를 보조 도구로만 사용하고, 최종 검증은 반드시 사람이 해야 합니다.

관련 글:
- 해킹당해도 인수된다 — Moltbook이 증명한 바이브코딩의 역설
- AI가 인증을 거꾸로 짰다 — 18,697명의 데이터가 노출된 바이브코딩 보안 사고