AI 공급망 해킹, 라이트LLM 악성 업데이트로 개발·보안 인프라 동시 위협

인공지능(AI) 생태계가 빠르게 커지는 사이, 공격자들은 가장 약하면서도 가장 큰 피해를 낼 수 있는 지점을 먼저 파고들고 있다. 최근 발생한 TeamPCP 공격은 AI 애플리케이션 자체보다 이를 떠받치는 ‘소프트웨어 공급망’과 AI 미들웨어가 얼마나 위험한 표적이 됐는지를 보여줬다.

이번 공격은 오픈소스 보안 스캐너 ‘트리비(Trivy)’와 체크마크스(Checkmarx) 애플리케이션 보안 플랫폼, 그리고 100개가 넘는 대규모언어모델(LLM) 호출을 하나의 인터페이스로 연결해주는 오픈소스 파이썬 라이브러리 라이트LLM(LiteLLM) 등을 겨냥했다. 특히 악성 버전으로 확인된 라이트LLM 1.82.7과 1.82.8에는 고도로 난독화된 다단계 자격증명 탈취 코드와 드로퍼가 심겨 있었던 것으로 전해졌다.

문제가 더 큰 이유는 개발 환경의 구조에 있다. 일반적으로 개발자 계정, 클라우드 인프라, CI/CD 시스템은 민감한 인증 정보와 접근 권한을 함께 공유하는 경우가 많다. 이 때문에 라이트LLM 같은 단일 도구 하나만 침해돼도 공격자는 쿠버네티스 클러스터 안에서 옆으로 확산하며 데이터를 외부 도메인으로 빼낼 수 있다. 보안 도구와 개발 인프라를 동시에 신뢰 기반으로 운영해온 기업 입장에서는 피해 범위, 이른바 ‘폭발 반경’이 커질 수밖에 없다.

새로운 점은 ‘AI 미들웨어’가 핵심 인프라가 됐다는 사실

소프트웨어 공급망 공격 자체는 낯선 일이 아니다. 다만 이번 사례는 과거 솔라윈즈 사태와는 결이 다르다는 평가가 나온다. 공격자가 보안 및 개발 인프라를 무기화했고, 높은 권한이 필요한 도구를 발판 삼아 운영 환경의 비밀 정보까지 직접 노렸다는 점에서다. 결과적으로 생산 환경 비밀값 접근은 물론, 갈취나 랜섬웨어 공격으로 이어질 가능성까지 커졌다.

기사 원문 기고자인 시큐어 코드 워리어의 공동창업자이자 최고기술책임자 마티아스 마두(Matias Madou)는 기업이 이제 AI ‘미들웨어’를 사실상 핵심 인프라로 분류해야 한다고 지적했다. 추상화 계층 역할을 하는 이들 도구는 데이터 흐름 한가운데에서 API 키, 환경 변수, 모델 호출 정보 같은 민감 데이터를 상시 처리한다. 그만큼 AI 거버넌스 체계 안에서도 고위험 구성요소로 관리해야 한다는 뜻이다.

특히 기업이 도입하는 AI 거버넌스 정책은 LLM 연동 인프라에서 발생하는 비정상 외부 연결, 데이터 유출 시도, 비인가 플러그인 사용 여부를 지속적으로 감시하도록 설계돼야 한다는 주문이 나온다. 단순히 모델 사용 규칙만 정하는 수준으로는 실제 공격을 막기 어렵다는 의미다.

몇 시간 만에 수천 건 노출 가능성… ‘사후 대응’은 늦다

이번 공격은 불과 몇 시간 만에 수천 건의 잠재적 침해 가능성을 만들 수 있었다는 점에서도 경고음이 크다. 이는 이상 징후가 나타난 뒤 대응하는 기존 방식만으로는 AI 보안을 지키기 어렵다는 사실을 보여준다. 공격이 시작되면 속도와 자동화 수준이 워낙 높아 피해 확산을 따라잡기 힘들기 때문이다.

대응책으로는 우선 의존성 업데이트 통제를 강화하는 방안이 꼽힌다. 자동 업데이트가 그대로 실행되지 않도록 ‘디펜던시 핀닝’을 적용하고, 비밀정보 관리 체계를 현대화하며, 접근 키에는 ‘최소 권한’ 원칙을 적용해야 한다는 설명이다. 승인된 작업 목록만 수행하도록 파이프라인 권한을 좁히는 것도 같은 맥락이다.

모델 컨텍스트 프로토콜(MCP) 에이전트에 대한 가시성과 통제 역시 핵심 과제로 떠올랐다. 이번 피해가 커진 배경에는 문서화되지 않은 MCP 플러그인이 악용될 수 있었던 점이 있다는 지적이 나온다. 내부 연결성이 높고 자율성이 큰 AI 도구일수록 어떤 플러그인이 연결됐는지, 어떤 권한으로 동작하는지부터 명확히 파악해야 한다는 얘기다.

개발자 교육과 규정 정비가 가장 빠른 방어선

전문가들은 AI 보안을 보안팀만의 문제로 남겨둬선 안 된다고 본다. 개발자들이 최신 AI 보안 이슈를 계속 학습하고, 도구 출력과 코드 변경을 안전하게 검토할 수 있어야 실제 방어력이 생긴다는 것이다. 전통적인 개발 방식은 빠르게 바뀌고 있지만, 코드 리뷰 능력과 비판적 사고, 비즈니스 맥락을 읽는 역량은 여전히 중요하다는 평가다.

기업 차원에서는 어떤 개발자가 어떤 AI 도구로 어떤 코드를 작성했는지 추적할 수 있는 통제 체계도 필요하다. AI 코딩 도구 사용이 늘어나는 만큼, 커밋 이력과 도구 관여 범위, 개발자의 보안 숙련도를 함께 관리하는 ‘통합 제어면’이 요구된다는 설명이다.

조직 보안 규정 역시 AI 시대에 맞게 다시 써야 한다. AI 사용 가이드라인, 도구별 세부 규칙, 최소한의 안전한 코딩 기준만 갖춰도 상당수 위험은 초기에 줄일 수 있다는 분석이다. 입법이나 규제 정비를 기다리는 사이 AI 기반 침해가 먼저 닥칠 수 있다는 경고도 나온다.

AI 보안의 초점은 더 이상 모델 성능만이 아니다. 실제 시장에서는 AI 서비스를 연결하고 운영하는 공급망, 미들웨어, 개발 파이프라인이 새로운 ‘핵심 전장’이 되고 있다. 기업이 이 지점을 놓치면, AI 혁신의 속도만큼 공격의 속도도 빨라질 가능성이 크다.