사람이 시키지도 않았는데 AI 에이전트가 혼자 남의 회사 서버에 들어가 데이터를 암호화하고 협박문까지 써낸 공격이 처음으로 확인됐어요. 클라우드 보안 기업 시스딕(Sysdig)이 7월 1일 공개한 '제이드퍼퍼(JadePuffer)' 사례입니다. AI 도입을 고민하는 회사라면 이 뉴스에서 "AI가 무섭다"보다 먼저 봐야 할 게 있는데요. 그 AI가 처음 열고 들어간 문이 다름 아닌 'AI 앱을 만드는 도구'였다는 점이예요
침투 관문은 AI 앱 빌더 '랭플로우'였다
제이드퍼퍼가 처음 파고든 건 랭플로우(Langflow)예요. 코딩을 몰라도 화면에서 블록을 끌어다 붙여 AI 앱을 만드는 오픈소스 도구로, "개발자 없이 우리 회사 챗봇 만든다"며 요즘 여기저기서 쓰는 바로 그런 물건.
이런 도구가 적당한 타겟이였던 이유는 단순해요. AI 앱을 돌리려면 외부 서비스에 접속할 키가 필요한데, 그 키들이 죄다 이 도구 안에 모여 있기 때문이예요. 챗GPT를 부르는 키, 클라우드에 접속하는 정보, 회사 데이터베이스로 들어가는 비밀번호까지 한자리에 쌓여 있는데, 정작 이런 도구는 별다른 보안 장치 없이 빠르게 세워 인터넷에 열어두는 경우가 많아요. 제이드퍼퍼는 랭플로우에 들어서자마자 이 키체인을 통째로 챙겼어요. AI 앱 빌더 하나가 회사의 온갖 열쇠가 걸린 열쇠고리였던 거죠.
진짜 노린 건 랭플로우가 아니었다
여기서 이 사건의 전체적인 구조가 보여요. 랭플로우가 핵심이 아닌 그저 ‘입구’였어요. 제이드퍼퍼가 노린 건 따로 있었으니까요. 인터넷에 열려 있던 별도의 운영 데이터베이스 서버였고, 랭플로우에서 빼낸 키를 발판 삼아 넘어갔어요.
넘어가는 길목도 하나같이 문이 열려 있었어요. 내부망을 살피다 마주친 저장소는 계정과 비밀번호가 처음 설치했을 때 그대로였고, 최종 목표 서버 역시 몇 년 전부터 공개돼 알 만한 사람은 다 아는 기본 설정을 그대로 쓰고 있었어요. 누가 애써 뚫었다기보다, 잠그지 않은 문을 그냥 밀고 들어간 쪽에 가까웠었죠.
실무 체크포인트 : 제이드퍼퍼는 이렇게 움직였다
공격이 어디를 거쳐 어떻게 번졌는지 단계별로 짚어보면, 우리 환경에서 어디를 봐야 할지가 보여요
입구 — 랭플로우 취약점(CVE-2025-3248): 인터넷에 노출된 랭플로우 서버의 알려진 원격 코드 실행 취약점으로 최초 침투. 로그인 없이 서버에서 명령을 실행할 수 있는 구멍이었어요.
키 탈취: 서버 안에 저장돼 있던 각종 API 키, 클라우드 자격증명, 데이터베이스 접속 정보를 수집.
내부 이동 — 기본 계정: 내부 객체 저장소(MinIO)에
minioadmin / minioadmin같은 초기 기본 계정이 그대로 남아 있어 손쉽게 접근, 설정 파일과 자격증명을 추가 확보.진짜 타깃 장악 — 기본 키: 최종 목표인 운영 DB 서버의 구성 서비스(Nacos)가 2020년부터 공개돼 있던 기본 서명 키를 그대로 써서, 관리자 토큰을 위조해 장악.
암호화·삭제·협박: 설정값 1,342개를 암호화하고 원본을 삭제한 뒤 협박문을 남김.
핵심은 1~4단계 전부가 새로운 해킹 기술이 아니라 방치된 기본값과 안 막은 패치였다는 점이예요.
AI가 붙으면 공격의 성격이 달라진다
개별 수법만 뜯어보면 새로울 게 없어요. 시스딕도 "기법 자체는 새롭지도 정교하지도 않았다"고 짚었어요. 달라진 건 그 수법들을 엮어 실행한 주체가 사람이 아니라 AI였다는 점이예요. 그리고 그 차이는 일이 막혔을 때 가장 또렷하게 드러나요.
관리자 계정을 몰래 심으려다 로그인에 실패한 순간, AI는 누가 시키지 않아도 스스로 원인을 따졌어요. 실패한 지 12초 만에 의심 가는 원인 두 가지를 한꺼번에 점검하고, 19초 뒤 정확한 수정 코드를 넣어, 로그인 실패에서 해결까지 딱 31초 만에 뚫었어요. 사람이라면 오류 메시지를 읽고 원인을 짚어 고칠 코드를 짜는 데만 그보다 훨씬 오래 걸려요. 응답이 예상과 다른 형식으로 돌아오면 그 자리에서 처리 방식을 바꾸고, 데이터 삭제가 막히면 막은 설정을 풀고 다시 시도하는 식으로, 스스로 고쳐가며 밀고 나간 흔적이 공격 내내 이어졌어요.
그렇게 장악한 뒤 제이드퍼퍼는 설정값 1,342개를 전부 암호화하고 원본을 지운 다음, 비트코인 주소가 담긴 협박문을 남겼어요. 황당한 부분도 있었어요. 암호를 푸는 열쇠가 화면에 한 번 찍히고는 저장도 전송도 되지 않게 만들어져서, 피해 회사가 돈을 내도 데이터를 되돌릴 방법이 없는 구조였죠. 협박하는 시늉까지는 그럴듯했는데 정작 거래는 성립할 수 없는, 생기다가 만 자동화였던거예요.
만드는 데 반나절, 지키는 데 다른 차원
이 사건이 AI를 들이려는 회사에 남긴 건 두 가지이예요.
하나는, 이제 랜섬웨어가 실력 있는 해커의 몫이 아니게 됐다는 사실.
AI 에이전트는 어느 한 단계에 도가 트지 않아도 침투부터 키 탈취, 내부 이동, 파괴까지 알아서 이어가요. 시스딕의 표현으로는, 랜섬웨어를 굴리는 데 드는 기술의 문턱이 'AI를 한 번 돌리는 값' 수준으로 내려앉았어요. 앞으로 공격 규모를 가르는 건 해커의 솜씨가 아니라 그가 쥔 예산이라는 경고가 여기서 나오는거예요.
다른 하나는, 오래전에 알려진 구멍이 이제 자동으로 대량 공격에 쓰인다는 점.
제이드퍼퍼가 파고든 랭플로우 구멍은 이미 2025년 3월에 고칠 패치가 나왔고 5월엔 미국 보안당국이 위험 목록에 올린, 알려질 대로 알려진 취약점이었어요. 최종 목표 서버의 약점은 2021년부터 공개돼 있던 것이었고요. 대단한 신종 공격이 아니라, 뻔히 알려진 구멍을 1년 넘게 안 막고 열어둔 대가였어요. AI가 이런 낡은 구멍들을 거의 공짜로 훑고 다니기 시작하면, 패치 미룬 시스템은 그만큼 더 위태로워져요.
따지고 보면 문제의 뿌리는 태도예요. 지난 2년 사이 많은 회사가 "AI 에이전트, 생각보다 만들기 쉽네" 하며 이런 도구를 서둘러 들였는데, 정작 다루는 손길은 회사의 중요한 시스템이 아니라 편의용 앱 하나 깔듯 가벼웠어요. 블록 이어 붙여 챗봇 만드는 건 반나절이면 되지만, 그 챗봇이 쥔 열쇠고리를 안전하게 잠가두는 건 완전히 다른 일이예요. 제이드퍼퍼는 그 잠그지 않은 문으로 들어왔으니까요.
우리 회사가 지금 물어야 할 것
그러니 이 사건 앞에서 던질 질문은 "AI 도입을 미룰까"가 아니예요. "AI 에이전트를 어디서, 어떻게 굴릴 것인가"죠. 복잡한 기술 점검을 떠나, 경영진이 지금 당장 담당자에게 물어볼 수 있는 건 세 가지예요.
우리가 쓰는 AI 도구가 인터넷에 그냥 열려 있지는 않은지, 그 도구가 쥔 회사의 열쇠들이 아무나 닿을 수 있는 곳에 놓여 있지는 않은지, 그리고 문제가 생겼을 때 곧바로 알아챌 사람이나 장치가 있는지. 이 셋에 바로 답이 나오지 않는다면, 지금 우리 회사의 AI는 제이드퍼퍼가 들어간 그 서버와 크게 다르지 않은 상태일 수 있어요.
실무 체크포인트 - 바로 확인해 보세요.
시스딕이 내놓은 방어 권고를 우리 환경에서 바로 점검할 수 있게 정리했어요.
AI 도구의 노출 여부: 랭플로우처럼 코드를 실행할 수 있는 AI 도구가 인터넷에 그대로 열려 있지 않은지 확인하고, 알려진 취약점 패치를 최신으로 맞춰요.
열쇠와 서버의 분리: AI를 돌리는 서버에 회사의 API 키·클라우드 자격증명을 함께 두지 말아요. 비밀 키는 웹에서 접근 가능한 부분과 떼어내 별도로 관리해요.
기본값 제거: 저장소·데이터베이스·구성 서비스의 초기 기본 계정과 기본 키를 그대로 쓰고 있지 않은지 점검하고, 고유한 값으로 교체해요.
관리자 접근 제한: 데이터베이스 관리자 계정이 인터넷에 노출돼 있지 않은지 확인하고, 접속 가능한 IP를 제한해요.
바깥으로 나가는 통로 차단: 감염된 서버가 외부로 함부로 신호를 보내지 못하도록 통제하고, 예정에 없던 외부 접속이나 이상 행위를 감시해요.
하나씩 보면 특별할 게 없는, 원래 해야 했던 기본기예요. 제이드퍼퍼가 증명한 건 이 기본기를 미뤄둔 곳이 이제 자동으로, 대량으로 노려진다는 사실이에요.
AI 에이전트를 '어디서 어떻게' 굴리느냐가 안전을 갈라요. 민감한 정보와 열쇠는 밖에 열린 서버가 아니라 회사가 직접 통제하는 닫힌 환경에 두고, 누가 어디까지 손댈 수 있는지 선을 긋고, 이상한 낌새를 바로 잡아내는 눈을 두는 것. 게다가 이건 한 번 세팅하고 끝나는 일이 아니라 계속 손봐야 하는 일이예요. 챗봇을 만드는 재미난 작업과, 그 챗봇을 실제 업무에 안전하게 올리는 일의 차이가 여기 있어요.
최근에는 AI보안에 관련한 컨텐츠와 블로그 글을 한참 작성하고 있어요. 그 이유는 현재 국내,외로 보안에 관련한 이슈가 차고 넘치며 뜨겁게 달아오르고 있는 것에 비해 국내에는 제대로 된 보안을 쌓아 올리는 방법을 모르는 기업들이 많아 보이기 때문인데요.
저희 오픈네트웍시스템은 롱플로우와 유사한 AI앱 빌더를 서비스하는 기업이기에 이번 이슈와 같은 기업 폐쇄망에서의 운영과 보안을 중요하게 다루고 있어요.
이러한 이유로 현재는 국정원 보안 수준의 인증을 받은 Dify를 통해 다양한 AI 솔루션과 기업 교육을 서비스를 제공하고 있습니다.
오픈네트웍시스템 ㅣ 권태규