다나봇 해체, 에이전틱 AI가 해커 조직 무력화 이끈 결정타

최근 러시아 해커 조직 ‘SCULLY SPIDER’가 운영한 악성 코드 배포 플랫폼 ‘다나봇(DanaBot)’의 해체는 사이버 보안 분야가 에이전틱 AI(agentic AI) 중심으로 재편되고 있음을 극명하게 보여준다. 미국 법무부가 발표한 바에 따르면, 다나봇은 2018년부터 전 세계 40여 개국에서 최소 30만 대 이상의 시스템을 감염시켰으며, 그 피해액은 5,000만 달러(약 720억 원)를 넘어선 것으로 추산된다.

다나봇은 초기에 은행 정보 탈취용 트로이목마로 등장했지만, 이후 랜섬웨어 실행, 정탐 활동, 서비스 거부(DDoS) 공격 등 다양한 사이버 범죄를 구현할 수 있는 모듈형 툴킷 형태로 진화했다. 특히 이 플랫폼은 러시아 정보기관과 연계된 정찰 작전에서도 활용된 것으로 드러나며, 금전적 동기와 국가 지원 간 경극이 희미해지는 위험성을 드러냈다.

이번 작전에서 눈에 띄는 점은 다나봇 해체 과정에 에이전틱 AI가 핵심 역할을 수행했다는 것이다. 수 개월이 걸릴 수 있는 복잡한 디지털 포렌식 분석을 단 몇 주 안에 마칠 수 있었으며, 이는 예측 기반 위협 모델링, 실시간 텔레메트리 기반 상관 분석, 자동화된 비정상 행위 탐지 기능 등을 통해 가능했다. 기존에 정적 룰 기반 시스템으로는 추적이 어려웠던 다나봇의 유동적인 C2 서버 구조와 프록시 운영이 AI 기반 분석 기술로 빠르게 드러났다.

한편, 크라우드스트라이크(CrowdStrike)의 애덤 마이어스 최고위협대응책임자는 “SCULLY SPIDER는 사실상 러시아 국내에서 단속받지 않고 활동해왔다”며, “이런 유형의 작전에 대한 가격(비용)을 높이는 것이 향후 유사한 조직 활동 억제에 필수”라고 지적했다. 실제로 다나봇은 하루 평균 150개 이상의 C2 서버를 운영했고, 그 중 75%는 기존의 시그니처 기반 탐지 시스템으로 탐지되지 않았다.

에이전틱 AI는 그동안 보안운영센터(SOC)가 안고 있던 ‘알림 피로(alert fatigue)’ 문제에도 근본적인 해결을 제시하고 있다. 전통적인 SIEM 시스템은 경고의 최대 40%가 오탐으로 분류될 만큼 분석가들의 업무를 과중하게 했다. 반면, 마이크로소프트, IBM, 구글, 시스코, 팔로알토네트웍스 등이 제공하는 AI 기반 보안 솔루션은 중요한 위협 식별과 대응 시간을 단축하고, 불필요한 경고를 자동으로 선별함으로써 업무 효율을 대폭 개선시킨다는 평가다.

마이크로소프트의 최근 연구에 따르면, 생성형 AI를 SOC 업무에 통합 시 사건 해결 시간이 약 30% 줄어들며, 가트너는 2026년까지 에이전틱 AI를 도입한 SOC 팀의 생산성이 40% 가까이 향상될 것으로 예측했다. 크라우드스트라이크의 조지 커츠 CEO는 “오늘날 사이버 공격은 불과 2분 만에 방어선을 돌파하는 속도로 전개된다”며, “이에 대응하기 위해선 인간의 분석 속도를 뛰어넘는 AI 시스템이 필수”라고 강조했다.

이번 다나봇 사건은 SOC가 단순히 경고만 받아들이는 조직에서 벗어나, 위협 정보를 중심으로 전략적으로 운영되는 체계로 바뀌고 있음을 입증했다. 높은 수준의 보안 운영을 달성한 기업들은 AI 전환을 단순한 툴 도입에 그치지 않고, 반복 업무의 자동화, 텔레메트리 통합, 규율 수립, 성과 지표 연계 등 실용적인 전략으로 접근하고 있다.

결국 에이전틱 AI의 도입은 선택이 아닌 필수가 되고 있다. 정적인 방어 체계로는 실시간 진화하는 사이버 위협에 대응하기 어렵고, 실제 위협 요인에 의미 있는 속도로 대처할 수 있는 유일한 해법이 에이전틱 AI임이 다나봇 사례를 통해 입증된 셈이다.