인공지능은 디지털 혁신의 촉매제 역할을 하지만, 동시에 사이버 위협 영역에서 악용되는 사례도 빠르게 늘고 있다.

인터랙티브 악성코드 분석 및 위협 인텔리전스 솔루션 기업 애니런(ANY.RUN)의 펑크섹(FunkSec) 그룹이 AI를 활용하여 개발한 랜섬웨어 변종인 펑크로커(FunkLocker)에 대한 새로운 연구 결과 보고서를 발표했다. 

이번 보고서는 AI 코드 생성이 실제 랜섬웨어 제작에 어떻게 적용되는지 보여주는 대표적 사례다. 펑크로커는 AI가 만든 코드 스니펫을 단순 조합하는 방식으로 변종을 빠르게 만들어내며, 기존 보안 체계에 새로운 도전 과제를 던지고 있다. 기업의 SOC와 연구자들은 이러한 자동화된 위협 진화 속도를 고려한 탐지·대응 체계를 시급히 확립해야 한다.

펑크로커의 주요 동작과 분석 결과

분석 결과 펑크로커는 AI 코드 스니펫을 복사·붙여넣기 방식으로 결합해 다양한 버전을 만든다. 일부는 거의 기능하지 않지만, 다른 버전은 가상화 방지 검사 기능까지 포함하며 점점 정교해지고 있다. 이는 변종의 빠른 확산 가능성을 시사한다.

펑크로커의 핵심 동작은 로컬 암호화다. 대상 시스템의 파일은 .funksec 확장자로 암호화되고, 랜섬 노트는 재부팅 시점까지 숨겨질 수 있다. 피해자가 이상을 인지하기 전에 광범위한 암호화가 완료될 위험이 있다.

공격 과정에서 PowerShell, sc.exe, taskkill.exe, net.exe 같은 합법적인 Windows 유틸리티가 활용된다. 이는 정상 툴을 악용한 탐지 회피 전술로, 엔드포인트 보호 솔루션의 탐지를 어렵게 만든다.

또한 일부 변종에서 재사용된 비트코인 지갑과 하드코딩된 키가 확인됐다. 이를 기반으로 연구진은 공개 복호화기를 제작할 수 있었지만, 전체 변종에 대한 완전한 해결책은 되지 못한다는 한계가 남았다.

AI 코드 생성의 특징과 SOC 대응 방안

펑크로커는 AI 기반 코드 생성이 단순한 연구 단계를 넘어 공격 실전에 적용된 사례다. 불규칙하게 조합된 코드 스니펫은 탐지를 어렵게 하고, 기존 서명 기반 보안의 효과를 떨어뜨린다. 이는 보안팀이 정적 탐지에만 의존할 수 없음을 보여준다.

MITRE ATT&CK 전술 매핑은 펑크로커 대응의 핵심 자료로 활용될 수 있다. 애니런은 관련 IOC를 공개해 SOC가 탐지 규칙을 강화하도록 지원했다. 이를 통해 유사 변종 공격에 대한 사전 대비가 가능하다.

애니런의 인터랙티브 샌드박스는 SOC 대응 효율성을 높인다. 분석가는 샘플을 안전하게 실행해 전체 실행 체인과 ATT&CK 기법을 즉시 확인할 수 있다. 암호화가 완료되기 전 공격을 탐지해 격리할 수 있으며, 통제된 환경에서 복구 계획 검증도 가능하다.

또한 기업은 샌드박스를 통해 펑크로커의 영향을 테스트하여 보안 정책의 취약점을 파악할 수 있다. 이는 실제 운영 환경에서의 대응 전략 수립에 유용한 정보를 제공한다.

국내에도 위협 부상

국내에서도 AI와 자동화 기술이 보안 위협에 활용되는 양상이 나타나고 있다. 한국인터넷진흥원(KISA) 발표에 따르면, 2024년 랜섬웨어 피해 신고 건수는 전년 대비 증가했으며, 특히 중소기업과 공공기관이 주요 표적이 되었다. 이는 보안 인력이 부족한 조직에서 공격이 더욱 심각한 피해로 이어질 수 있음을 의미한다.

한국 기업 환경은 제조·물류·금융 등 핵심 산업이 디지털 전환을 가속화하는 가운데, AI 기반 위협에 더욱 노출되고 있다. 특히 국내 기업들도 피워셀(PowerShell) 등 합법 툴을 이용한 공격 시도로 인해 기존 방어 체계에서 탐지가 누락되는 사례가 보고되고 있다. 이는 펑크로커 사례와 유사한 전술이 한국 내에서도 충분히 활용될 수 있음을 시사한다.

한국 정부는 ‘사이버 보안 전략 2025’를 통해 AI 악용 위협 대응 강화와 위협 인텔리전스 공유를 강조하고 있다. 그러나 기업 현장에서는 여전히 AI 기반 공격에 특화된 탐지와 대응 역량이 부족하다는 지적이 있다. SOC 인력 교육, 샌드박스 기반 분석 도입, 국제 보안 위협 공유 참여 확대가 필요하다.

펑크로커 사례는 AI 코드 생성이 랜섬웨어 진화의 속도를 높이고 있음을 보여준다. 글로벌뿐 아니라 한국 기업 환경도 합법 툴 악용과 자동화된 변종 공격에 노출되고 있다. 국내 기업과 기관은 IOC 기반 탐지 강화, 샌드박스 분석, 복구 계획 검증 같은 구체적 대응 전략을 실행해야 한다. AI가 사이버 공격에 적용되는 만큼, 한국 SOC 역시 AI 분석 기술과 위협 인텔리전스를 적극 도입해야 한다.