핵심 내용.
- 2023년 6월 WormGPT 등장 이후 AI 기반 해킹 도구가 다크웹, 텔레그램, GitHub, Hugging Face로 확산되었다.
- 시장은 유료 구독형 SaaS와 무료 오픈소스 배포가 공존하는 구조로 진화했다.
- 주요 기능은 피싱 자동화, 악성코드 개발, 정찰, 브루트포스, 취약점 익스플로잇, 소셜 엔지니어링으로 분화되었다.
- WormGPT, FraudGPT, EvilGPT, KawaiiGPT, Xanthorox, HexStrike AI, BruteForce AI 등 여러 도구가 유통되었다.
- AI 도구로 공격 진입장벽은 낮아졌으나, 영향은 전 과정이 아닌 특정 단계에 제한되며 핵심 공격 인프라는 여전히 전문성이 요구된다.
- AI 위협의 본질은 최신 모델이 아니라, AI 역량이 통제 불가능하게 확산되는 구조적 한계에 있다.
유통 생태계와 오픈소스 악용.
- 다크웹의 일부 도구는 독자 모델이 아니라 Mistral, Grok 같은 상용 AI API에 jailbreak(탈옥) 프롬프트를 적용한 wrapper 구조이거나 Hugging Face의 언센서드(안전장치가 제거된) 모델을 기반으로 한다.
- WormGPT 사용자 DB 유출로 1만 9천여 명의 이메일, 결제 정보, 구독 기록이 공개되었다.
- KawaiiGPT(무료 공개된 AI 해킹 도구)는 GitHub에 공개 배포되었고, Termux(안드로이드 터미널 환경)도 지원했다.
- WhiteRabbitNeo, Llama 2 Uncensored, Dolphin 시리즈, Wizard-Vicuna Uncensored 같은 모델은 로컬 실행이 가능해 추적과 비용 부담이 낮다.
- Ollama(로컬에서 AI 모델을 실행하는 프레임워크)를 통해 언센서드 모델을 간단히 구동할 수 있어 진입 장벽이 더 낮아졌다.
실제 공격 사례와 악성코드 진화.
- 2026년 4월 The DFIR Report는 Bissa Scanner 사례를 공개했으며, 위협 행위자는 Claude Code와 OpenClaw를 공격 오케스트레이션(공격 작전 전체 조율) 도구로 사용했다.
- 이 공격은 Next.js의 CVE-2025-55182를 악용해 수백만 대상을 스캔했고, 900개 이상의 침해와 6만 5천 건 이상의 자격증명 파일 탈취로 이어졌다.
- 탈취 대상에는 Anthropic, OpenAI, Google, AWS, Stripe, PayPal 관련 자격증명이 포함되었다.
- Google GTIG 2026년 5월 보고서에서는 Promptflux, Honestcue, Canfail – Longstream, Promptspy 같은 AI 내장형 악성코드가 공개되었다.
- Promptflux는 Gemini API를 호출해 자체 소스코드를 재작성했고, Honestcue는 VBScript 난독화를 실시간 요청했다.
- Promptspy는 Android 백도어로 Gemini API를 이용해 UI 구조를 분석하고 클릭, 스와이프를 시뮬레이션했으며 삭제 방해 기능도 포함했다.
국가 연계 활용과 대응.
- Google GTIG는 AI를 활용한 것으로 고도로 확신하는 최초의 제로데이 익스플로잇 사례도 확인했다.
- 중국(PRC) 연계 위협 행위자는 wooyun-legacy 프로젝트를 활용했고, 북한(DPRK) 연계 APT45는 반복 프롬프팅으로 CVE 분석과 PoC 검증을 자동화했다.
- APT27은 Gemini를 활용해 ORB(Operational Relay Box) 네트워크 관리 애플리케이션 개발을 가속화했다.
- 보고서는 AI 에이전트 기반 능동 방어, 강화된 MFA(다중 요소 인증), AI 모델 거버넌스, 공급망 및 AI 인프라 보안 검토가 필요하다고 정리했다.
- 핵심 위험은 공격자가 AI로 공격을 자율 운용하는 반면 방어자는 기존 정적 방어에 머물 경우 속도와 비용 경쟁에서 불리해진다는 점이다.
