Google 위협 인텔리전스 그룹(GTIG)은 5월 11일 충격적인 보고서를 발표했습니다. 국가 연계 해커와 범죄 행위자들이 이제 산업적 규모로 AI를 무기화하고 있다는 내용입니다. 그룹은 처음으로 AI 지원을 통해 개발된 것으로 추정되는 제로데이 익스플로잇을 발견했습니다. 그리고 PROMPTSPY라는 새로운 악성코드는 사용자의 인증 흐름을 감시하고 2단계 인증을 실시간으로 우회할 수 있습니다. 암호화폐 사용자에게 전하는 메시지는 분명합니다. 표준 2FA는 더 이상 충분하지 않다는 것입니다.
최초의 AI 지원 제로데이 익스플로잇
GTIG는 생성형 AI로 거의 확실하게 구축된 제로데이 익스플로잇을 사용하는 위협 행위자를 식별했다고 밝혔습니다. 이 익스플로잇은 대규모 공격 이벤트를 위해 계획되었으나, 사전 대응 차원에서의 역발견으로 배포가 차단되었을 수 있습니다. 보고서는 특정 취약점이나 배후 행위자를 명시하지 않았지만, 이는 전환점을 의미합니다. 2026년 2월 GTIG는 AI 지원 적대적 활동을 초기 단계이자 실험적이라고 설명했습니다. 이제 평가는 생성형 모델이 대규모 공격 워크플로우에 내장되었다는 것입니다.
PROMPTSPY: 사용자의 인증을 감시하는 악성코드
보고서는 PROMPTSPY라는 기능을 상세히 설명합니다. 이는 AI 기반 악성코드로, 시스템 상태를 동적으로 해석하고 실시간으로 명령을 생성하여 피해자 환경을 조작합니다. 가장 놀라운 기능 중 하나는 라이브 세션 중 SMS 기반 및 앱 기반 2단계 인증에 대해 타이밍 공격을 수행할 수 있다는 점입니다. 즉, 사용자가 2FA 코드를 입력하면 악성코드가 해당 코드가 의도된 서비스에 도달하기 전에 세션을 가로채거나 하이재킹합니다. 탐지를 피하기 위해 스스로를 재작성하는 다형성 악성코드도 러시아와 연계된 것으로 의심되는 위협 행위자와 관련이 있습니다.
표준 2FA가 충분하지 않은 이유
GTIG의 발견은 일회용 코드나 푸시 알림이 적절한 보안을 제공한다는 가정에 직접적으로 도전합니다. 악성코드가 인증 흐름을 관찰하고 실시간으로 반응할 수 있다면, 두 번째 요소는 방패가 아닌 책임이 됩니다. 보고서는 암호화폐 사용자에게 하드웨어 보안 키, 에어갭 서명 장치, 다중 서명 지갑 아키텍처를 권장합니다. 이러한 방법은 실시간으로 가로챌 수 있는 네트워크 관찰 가능 코드에 의존하지 않습니다.
보고서는 또한 중국과 북한과 연계된 국가 연계 행위자들이 취약점 발견에 AI를 사용하는 데 상당한 관심을 보였다고 언급합니다. 이는 제로데이 익스플로잇 파이프라인이 가속화될 가능성을 시사합니다. 암호화폐를 보유하거나 민감한 계정을 관리하는 사람이라면 SMS 기반 2FA를 업그레이드할 수 있는 시간이 크게 단축되었습니다.
