.jpg)
.gif)
1. 오픈AI 모델 활용한 최초의 AI 기반 랜섬웨어 ‘프롬프트록’ 발견
2. AI 이용으로 동적 공격 가능해져 기존 탐지 시스템 무력화
3. AI 적응형 통합 보안시스템 구축 필요성 대두
[보안뉴스 여이레 기자] 보안 업계의 우려가 현실화됐다. 사이버 공격의 지형을 바꿀 ‘AI 기반 랜섬웨어’가 등장했다. 보안 업계는 그동안 사이버 범죄자들이 AI를 범죄에 악용할 위험을 우려해왔다.
[자료: gettyimagesbank]
사이버 보안 기업 이셋은 오픈AI 모델을 사용해 악성 스크립트를 실시간으로 생성하는 최초의 AI 기반 랜섬웨어 ‘프롬프트록’(PromptLock)을 발견했다고 밝혔다.
프롬프트록은 이셋이 바이러스토탈에 업로된 샘플을 분석하는 과정에서 발견됐다. 이 샘플은 윈도우와 리눅스 환경을 모두 겨냥하고 있으며, Golang 언어로 작성된 ‘Filecoder.PromptLock.A’로 분류됐다.
기존 악성코드는 정적 로직에 기반하면서 단일한 행동 패턴만을 보인다. 반면, 프롬프트록은 시스템 상황이나 환경, 데이터에 따라 악성 스크립트를 동적으로 생성해 기존 시그니처 기반 탐지 시스템으로 대응이 어렵고 변종 대응도 쉽지 않다.
프롬프트록은 오픈AI의 gpt-oss:20b 언어 모델을 로컬 환경에서 활용해 공격 대상의 시스템 환경에 따라 악성 루아(Lua) 스크립트를 실시간으로 자동 생성한다. 이를 통해 파일 시스템 탐색, 중요 데이터 선별·유출, SPECK 128비트 암호화를 통한 파일 잠금 등 주요 랜섬웨어 기능을 수행한다.
또 LLM 전체 모델을 이진 파일에 내장하지 않는다. 대신 프록시와 터널링을 통해 공격자가 제어하는 서버상의 올라마(Ollama) 환경에 접속, 탐지를 회피한다.
프롬프트록은 2024년 우크라이나에서 러시아 APT 그룹이 배포한 AI 기반 악성코드 ‘LAMEHUG’과 전략적으로 유사한 면이 있다. 당시 공격자는 허깅페이스(HuggingFace)의 Qwen 2.5-Coder-32B-Instruct 모델을 활용해 환경 맞춤형 명령을 동적으로 생성했다.
하지만 프롬프트록은 모델을 로컬에 직접 통합함으로써 악성코드 생성의 완전한 오프라인화를 구현, 외부 API 의존성을 크게 줄였다는 점에서 차별화된다.
다만 프롬프트록은 데이터 파괴 같은 기능은 아직 갖추지 못했다. 이러한 낮은 코드 완성도를 고려해볼 때 프롬프트록은 개념 증명 단계 또는 개발 중인 프로토타입으로 추정된다. 또 코드 안에 사토시 나카모토 명의의 비트코인 주소가 삽입되어 있는데, 이는 랜섬 지불보다는 공격자의 교란 내지 상징적 목적일 가능성이 높다.
하지만 보안 전문가들은 이번 사례를 가볍게 넘겨서는 안된다고 지적한다. 이번 프롬프트록의 등장은 사이버 공격·방어 패러다임 전환의 시작점이 될 수 있다.
보안 업계는 AI 기반 공격이 향후 더욱 빠르고 예측불가하게 진화할 것으로 내다보고 있다. 이에 AI 위협을 실시간으로 식별·차단할 수 있는 통합 보안 시스템과 공격 적응형 대응 체계 구축이 시급하다.
사이버 보안 기업 아큐멘사이버 수석 컨설턴트 네이선 웹은 “이번 사례가 단순 실험으로 치부되어서는 안 된다”면서 “이와 같은 위협에 대응하기 위한 방어 전략이 새롭게 모색돼야 한다”고 강조했다.
[여이레 기자(gore@boannews.com)]
2. AI 이용으로 동적 공격 가능해져 기존 탐지 시스템 무력화
3. AI 적응형 통합 보안시스템 구축 필요성 대두
[보안뉴스 여이레 기자] 보안 업계의 우려가 현실화됐다. 사이버 공격의 지형을 바꿀 ‘AI 기반 랜섬웨어’가 등장했다. 보안 업계는 그동안 사이버 범죄자들이 AI를 범죄에 악용할 위험을 우려해왔다.
[자료: gettyimagesbank]
사이버 보안 기업 이셋은 오픈AI 모델을 사용해 악성 스크립트를 실시간으로 생성하는 최초의 AI 기반 랜섬웨어 ‘프롬프트록’(PromptLock)을 발견했다고 밝혔다.
프롬프트록은 이셋이 바이러스토탈에 업로된 샘플을 분석하는 과정에서 발견됐다. 이 샘플은 윈도우와 리눅스 환경을 모두 겨냥하고 있으며, Golang 언어로 작성된 ‘Filecoder.PromptLock.A’로 분류됐다.
기존 악성코드는 정적 로직에 기반하면서 단일한 행동 패턴만을 보인다. 반면, 프롬프트록은 시스템 상황이나 환경, 데이터에 따라 악성 스크립트를 동적으로 생성해 기존 시그니처 기반 탐지 시스템으로 대응이 어렵고 변종 대응도 쉽지 않다.
프롬프트록은 오픈AI의 gpt-oss:20b 언어 모델을 로컬 환경에서 활용해 공격 대상의 시스템 환경에 따라 악성 루아(Lua) 스크립트를 실시간으로 자동 생성한다. 이를 통해 파일 시스템 탐색, 중요 데이터 선별·유출, SPECK 128비트 암호화를 통한 파일 잠금 등 주요 랜섬웨어 기능을 수행한다.
또 LLM 전체 모델을 이진 파일에 내장하지 않는다. 대신 프록시와 터널링을 통해 공격자가 제어하는 서버상의 올라마(Ollama) 환경에 접속, 탐지를 회피한다.
프롬프트록은 2024년 우크라이나에서 러시아 APT 그룹이 배포한 AI 기반 악성코드 ‘LAMEHUG’과 전략적으로 유사한 면이 있다. 당시 공격자는 허깅페이스(HuggingFace)의 Qwen 2.5-Coder-32B-Instruct 모델을 활용해 환경 맞춤형 명령을 동적으로 생성했다.
하지만 프롬프트록은 모델을 로컬에 직접 통합함으로써 악성코드 생성의 완전한 오프라인화를 구현, 외부 API 의존성을 크게 줄였다는 점에서 차별화된다.
다만 프롬프트록은 데이터 파괴 같은 기능은 아직 갖추지 못했다. 이러한 낮은 코드 완성도를 고려해볼 때 프롬프트록은 개념 증명 단계 또는 개발 중인 프로토타입으로 추정된다. 또 코드 안에 사토시 나카모토 명의의 비트코인 주소가 삽입되어 있는데, 이는 랜섬 지불보다는 공격자의 교란 내지 상징적 목적일 가능성이 높다.
하지만 보안 전문가들은 이번 사례를 가볍게 넘겨서는 안된다고 지적한다. 이번 프롬프트록의 등장은 사이버 공격·방어 패러다임 전환의 시작점이 될 수 있다.
보안 업계는 AI 기반 공격이 향후 더욱 빠르고 예측불가하게 진화할 것으로 내다보고 있다. 이에 AI 위협을 실시간으로 식별·차단할 수 있는 통합 보안 시스템과 공격 적응형 대응 체계 구축이 시급하다.
사이버 보안 기업 아큐멘사이버 수석 컨설턴트 네이선 웹은 “이번 사례가 단순 실험으로 치부되어서는 안 된다”면서 “이와 같은 위협에 대응하기 위한 방어 전략이 새롭게 모색돼야 한다”고 강조했다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)