TL;DR 요약:
- ClawdBot과 같은 AI 에이전트를 위장한 가짜 VS Code 확장 프로그램이 인포스틸러로 작동하며 개발자들의 민감한 정보를 탈취하고 있습니다.
- AI 에이전트는 평문으로 저장된 메모리, 인증 토큰, VPN 구성을 포함하여 공격자에게 ‘인지적 컨텍스트 도용(Cognitive Context Theft)’의 새로운 경로를 제공합니다.
- RedLine, Lumma와 같은 주요 인포스틸러 패밀리는 이미 AI 에이전트 디렉토리를 표적으로 삼도록 진화하고 있으며, Change Healthcare의 2,200만 달러 랜섬웨어 공격과 같은 실제 침해 사례가 발생하고 있습니다.
AI 시대의 새로운 공격 벡터: 에이전트 스킬이 악성코드가 되다
최근 1Password의 보안 팀과 Jason Meller의 연구에서 놀라운 사실이 밝혀졌습니다. 인기 AI 코딩 어시스턴트인 “Moltbot”을 사칭한 가짜 VS Code 확장 프로그램이 발견되었으며, 이는 단순한 자격 증명 탈취를 넘어 ‘인지적 컨텍스트 도용(Cognitive Context Theft)’이라는 새로운 공격 패러다임을 보여주고 있습니다.
이번 공격은 AI 에이전트가 기업 환경에서 작동하기 위해 사용하는 ‘메모리’, 대화 기록, 환경 구성 정보를 탈취하는 것을 목표로 합니다. 공격자들은 AI의 인기에 편승하여 개발자와 AI 파워 유저를 표적으로 삼고 있으며, 이는 사이버 보안의 새로운 전환점을 의미합니다.
Hudson Rock의 분석에 따르면, ClawdBot과 같은 ‘Local-First’ AI 에이전트는 상용 악성코드에게 거대한 ‘허니팟’을 제공하고 있습니다. 이러한 에이전트들은 민감한 메모리와 인증 토큰을 평문 Markdown 및 JSON 파일로 저장하며, 암호화된 브라우저 저장소와 달리 이 파일들은 사용자 권한으로 실행되는 모든 프로세스에서 읽을 수 있습니다.
ClawdBot 분석: AI 에이전트가 인포스틸러의 황금 타겟이 된 이유
ClawdBot과 같은 AI 에이전트의 보안 취약점은 그 설계 철학에서 비롯됩니다. 로컬 우선(Local-First) 접근 방식은 사용자 데이터를 클라우드가 아닌 로컬 파일 시스템에 저장하는데, 이는 프라이버시 측면에서는 장점이지만 보안 측면에서는 심각한 약점이 됩니다.
인포스틸러에게 MEMORY.md와 같은 파일은 사용자의 심리적 프로필을 제공하는 보물창고입니다. 다음은 실제 AI 에이전트 메모리 파일에서 발견될 수 있는 민감한 정보의 예입니다:
– 사용자가 원격 근무를 위한 VPN 구성 저장을 요청함.
– VPN_GATEWAY: vpn.corporatenet.com (Cisco AnyConnect)
– VPN_GROUP_KEY: "T3chC0rp_Rem0te_Users"
– VPN_STATIC_PASS: "Winter2026!Secure"
– 사용자 언급: "오전 9시까지 Change Healthcare 포털에 로그인해야 함."
–
{
"gateway": {
"port": 3000,
"auth": {
"mode": "token",
"token": "cl_live_99283…RCE_RISK…"
}
}
}이러한 정보는 공격자에게 다음과 같은 가치를 제공합니다:
- VPN 자격 증명: 기업 네트워크 침투의 직접적인 경로
- API 토큰: 클라우드 인프라 및 SaaS 플랫폼에 대한 무단 액세스
- 컨텍스트 정보: 사용자의 업무 패턴과 민감한 시스템 식별
- 타이밍 정보: 공격 시점 최적화를 위한 업무 스케줄
Jason Meller는 다음과 같이 경고합니다: “공격자가 AI 에이전트를 실행하는 동일한 컴퓨터를 침해하면 특별한 기술이 필요하지 않습니다. 현대 인포스틸러는 일반적인 디렉토리를 스캔하고 자격 증명, 토큰, 세션 로그, 개발자 구성처럼 보이는 모든 것을 탈취합니다.”
실제 사례: 평문 파일이 2,200만 달러 침해로 이어지다
평문으로 저장된 VPN 또는 게이트웨이 키가 왜 위험한지 의문을 가질 수 있습니다. 역사는 단일 침해된 자격 증명이 최근 최대 규모의 사이버 침해의 근본 원인임을 보여줍니다.
2,200만 달러의 키: Change Healthcare 사례
2024년 Change Healthcare 랜섬웨어 공격은 무려 2,200만 달러의 몸값 지불로 이어졌습니다. 침입 경로는 무엇이었을까요? 인포스틸러에 감염된 직원의 컴퓨터에서 발견된 단일 Citrix/VPN 자격 증명이었습니다.
Hudson Rock Cavalier의 데이터에 따르면:
| VPN 플랫폼 | 탈취된 자격 증명 수 |
|---|---|
| Cisco (CSCOE) | 2,500+ |
| Fortinet | 1,800+ |
Atlassian & Jira 공격 표면
Hy-Vee(53GB 데이터 도난)와 Jaguar Land Rover 사건은 침해된 협업 자격 증명의 재앙을 보여줍니다. tools.md에 API 토큰을 저장하는 것은 공격자에게 전체 기업 지식 기반의 열쇠를 제공하는 것과 같습니다.
| 피해자 | 도난된 자산 | 영향 |
|---|---|---|
| Hy-Vee | Atlassian Cloud 자격 증명 | 53GB 데이터 유출 |
| Jaguar Land Rover | Jira 액세스 토큰 | Hellcat 랜섬웨어 침입 |
인포스틸러의 진화: AI 에이전트를 표적으로 하는 새로운 기법
주요 Malware-as-a-Service(MaaS) 패밀리들은 이미 이러한 구조를 표적으로 삼도록 진화하고 있습니다. RedLine은 모듈식 ‘FileGrabbers’를 사용하여 .clawdbot 구성을 탐색하며, Lumma는 휴리스틱을 사용하여 AI 디렉토리에서 ‘secret’ 또는 ‘config’라는 이름의 모든 것을 찾습니다.
다음은 현대 인포스틸러의 ClawdBot 표적 구성 예입니다:
{
"target": "ClawdBot",
"paths": [
"%USERPROFILE%/.clawdbot/clawdbot.json",
"%USERPROFILE%/clawd/memory/*.md"
],
"regex": "(auth.token|sk-ant-|jira_token)"
}주류의 관심: Elon Musk의 경고
이 사건은 광범위한 기술 커뮤니티의 관심을 끌었습니다. Elon Musk는 적절한 보안 샌드박스가 없는 깊이 통합된 AI 도구의 내재적 위험에 대해 언급했습니다. AI가 시스템을 읽고 쓸 수 있는 권한을 가진 ‘Agentic’ 워크플로우의 취약성은 공격자에게 영향력이 큰 제어 지점이 됩니다.
대응 방안: 조직이 취해야 할 조치
- AI 에이전트 구성 감사: 평문으로 저장된 민감한 정보 식별 및 암호화
- 최소 권한 원칙: AI 에이전트에 필요한 최소한의 권한만 부여
- 네트워크 분리: AI 에이전트를 중요한 시스템과 네트워크 세그먼트에서 분리
- 정기적인 침해 점검: Hudson Rock의 무료 도구를 사용하여 직원 자격 증명 또는 개발자 토큰이 침해되었는지 확인
- 보안 인식 교육: 개발자와 AI 사용자에게 새로운 위협 벡터에 대해 교육
결론: AI 시대의 보안 패러다임 전환
AI 에이전트가 인포스틸러의 주요 표적이 된 것은 단순한 기술적 취약점 이상의 의미를 가집니다. 이는 AI와 사이버 보안의 교차점에서 발생하는 근본적인 패러다임 전환을 나타냅니다.
개발자와 조직은 AI 도구의 편리함과 생산성 향상이 새로운 공격 표면을 창출한다는 사실을 인식해야 합니다. ClawdBot, Moltbot과 같은 AI 에이전트는 강력한 도구이지만, 적절한 보안 제어 없이는 기업 네트워크 침투의 관문이 될 수 있습니다.
조직의 위험 평가가 필요하다면 Hudson Rock의 무료 도구를 사용하여 직원 자격 증명이나 개발자 토큰이 이러한 진화하는 인포스틸러 캠페인에 침해되었는지 확인할 수 있습니다. AI 시대의 보안은 더 이상 선택이 아닌 필수입니다.