AI 악성코드 Slopoly — IBM이 분석한 해커의 AI 코딩 실태와 방어법
IBM X-Force가 AI로 만든 악성코드 Slopoly를 해부했습니다. 코드에 버그가 가득했지만 일주일 넘게 서버를 장악한 이유, AI 랜섬웨어 공격 과정과 실천 가능한 방어법을 쉽게 정리합니다.
• 내 맥북이 AI 보안 카메라가 됐다 — 월 구독료 0원에 정확도 93.8%, 오픈소스 SharpAI
• 내가 믿고 쓴 AI 서비스의 보안 인증서 494건이 조작이었습니다
AI 악성코드가 현실이 됐습니다. AI로 코드를 짜면 편리하지만, 가끔 엉뚱한 코드가 나오는 경험 — 개발자라면 한 번쯤 해보셨을 겁니다. 그런데 해커들도 똑같은 AI 코딩 품질 문제를 겪고 있었습니다. IBM X-Force의 최신 보고서가 밝힌 AI 생성 랜섬웨어의 실체를 살펴봅니다.
IBM의 보안 연구팀 X-Force가 2026년 3월 12일 발표한 보고서에 따르면, 해커 조직 Hive0163이 AI를 이용해 만든 악성코드 'Slopoly'가 실제 랜섬웨어 공격에 사용됐습니다. 이름부터가 'sloppy(엉성한)'에서 따온 것인데, 이름값을 제대로 합니다.
AI 생성 악성코드 Slopoly, 어떤 점이 엉성했나
IBM X-Force 연구원 Golo Mühr의 분석에 따르면, Slopoly의 코드에서 AI가 만들었다는 흔적이 곳곳에 남아있었습니다:
• 주석이 너무 친절합니다 — 악성코드에 "이 함수는 ○○을 수행합니다"라고 설명을 달아놨습니다. 사람이 짠 악성코드에서는 절대 볼 수 없는 패턴입니다
• 없는 기능을 있다고 주장합니다 — 코드 주석에 "다형성(Polymorphic) C2 클라이언트"라고 적혀있지만, 실제로는 다형성 기능이 전혀 없습니다. AI가 '있어 보이는 이름'을 지어준 것입니다
• 안 쓰는 함수가 들어있습니다 — Jitter라는 함수가 정의만 되어있고 한 번도 호출되지 않습니다. AI와 반복적으로 대화하며 코드를 발전시킨 흔적입니다
• 변수 이름이 악의적 의도를 드러냅니다 — 변수 이름을 보면 AI 모델이 "이 스크립트가 악성 목적으로 설계됐다"는 것을 알고 있었음을 시사합니다. 보안 장치를 우회한 것으로 추정됩니다
IBM의 평가는 이랬습니다: "기껏해야 평범한 수준이며, 실제보다 더 고급스러운 척한다." 아마도 성능이 낮은 AI 모델로 만든 것으로 보인다고 덧붙였습니다.
AI 악성코드 Slopoly가 일주일 넘게 탐지를 피한 이유
코드 품질은 낮았지만, Slopoly는 실제로 일주일 넘게 피해자의 서버에서 작동했습니다. 이것이 이 이야기의 핵심입니다.
공격 과정은 이렇습니다:
1단계. 가짜 보안 확인 화면(CAPTCHA처럼 생긴 것)을 띄워서 피해자가 직접 악성 명령어를 실행하게 유도합니다 — ClickFix라는 수법입니다
2단계. NodeSnake라는 1차 악성코드가 설치됩니다
3단계. InterlockRAT이라는 더 강력한 백도어(뒷문)가 깔립니다
4단계. 마지막으로 Slopoly가 투입되어 30초마다 해커 서버에 '살아있다'는 신호를 보냅니다
5단계. 충분한 데이터를 빼돌린 뒤 랜섬웨어(파일을 암호화하고 돈을 요구하는 프로그램)를 실행합니다
Slopoly는 PowerShell, PHP, C/C++, Java, JavaScript 등 6가지 언어로 구현되어 Windows와 Linux를 모두 공격할 수 있었습니다. AI가 여러 언어로 코드를 빠르게 생성하는 능력을 악용한 사례입니다.
AI 악성코드 시대, 사이버보안에 미치는 영향
IBM X-Force의 핵심 메시지는 이것입니다:
"AI가 만든 악성코드는 기술적으로 새로운 위협이 아닙니다. 하지만 공격자가 개발하고 실행하는 데 걸리는 시간을 불균형적으로 줄여줍니다."
쉽게 말하면: AI 악성코드는 아직 사람이 만든 것보다 못하지만, 만드는 속도가 압도적으로 빠릅니다. 예전에는 악성코드 하나 만드는 데 몇 주가 걸렸는데, AI를 쓰면 몇 시간이면 됩니다. 그래서 '일회용 악성코드'를 찍어내듯 만들 수 있게 됩니다.
팔로알토 네트웍스(Palo Alto Networks)의 보안팀 Unit 42도 비슷한 패턴을 확인했다고 합니다. AI를 활용한 랜섬웨어 공격이 업계 전반에서 관측되고 있습니다.
일반 사용자를 위한 AI 악성코드 방어법
Slopoly의 첫 진입 경로는 가짜 보안 화면이었습니다. 웹사이트를 방문했는데 "보안 확인을 위해 아래 명령어를 실행하세요"라는 화면이 나온다면, 그것은 99% 함정입니다.
IBM이 권고하는 방어 방법:
• 웹사이트가 키보드 단축키(Win+R)로 뭔가를 실행하라고 요구하면 절대 따르지 마세요
• 운영체제와 브라우저를 항상 최신 상태로 유지하세요
• 회사에서는 행동 기반 보안 탐지(기존 백신이 아닌 이상 행동을 감지하는 방식)를 강화하세요
AI 코딩의 품질 문제, 해커도 피해갈 수 없다
이 사건의 아이러니한 교훈은 이것입니다: AI가 짠 코드의 품질 문제는 선의의 개발자든, 악의적 해커든 똑같이 겪는다는 것. '없는 기능을 있다고 주장하는 코드', '안 쓰는 함수가 남아있는 코드' — AI 코딩 도구를 사용해본 사람이라면 익숙한 풍경일 겁니다.
차이가 있다면, 해커의 엉성한 코드는 보안 전문가가 AI로 만들었다는 것을 알아채는 단서가 된다는 점입니다. AI 악성코드가 정교해지기 전에 탐지 기술도 함께 발전해야 하는 이유입니다.
IBM X-Force는 이를 "AI 공격자와 방어자 사이의 군비 경쟁의 시작"이라고 표현했습니다. AI 보안 위협에 대한 이해는 이제 개발자뿐 아니라 AI를 처음 접하는 일반 사용자에게도 필수 지식이 되고 있습니다.
관련 콘텐츠 — Easy클코로 AI 시작하기 | 무료 학습 가이드 | AI 뉴스 더보기