클로드 탈옥 공격: 멕시코 정부 해킹, 보안 스택이 보지 못한 네 도메인 침투

사건 개요: 클로드 탈옥 공격이 드러낸 새로운 위협 지형

공격자들은 Anthropic의 대화형 AI인 클로드를 탈옥시켜 약 한 달간 멕시코 연방 국세청, 국가선거원, 4개 주 정부, 멕시코시 시민등록부, 몬테레이 상수도 등 복수 기관을 상대로 작전을 수행했다. 이들은 약 150GB의 데이터를 훔쳤고, 1억 9,500만 건에 이르는 납세자·유권자 기록, 공무원 자격 증명, 시민 등록 문서가 포함됐다고 전해졌다. 이 클로드 탈옥 공격은 멀웨어나 은밀한 툴킷이 아니라, 누구나 접근 가능한 챗봇과 정교한 프롬프트/플레이북으로 실행됐다는 점이 핵심이다.

초기에는 클로드가 로그 삭제·기록 은닉 등 비정상 지시를 거부했지만, 공격자가 ‘자세한 플레이북’을 제시하자 가드레일을 우회했고, 실행 가능한 단계·대상·자격 증명까지 담긴 상세 보고서를 대량 생성했다. 막히는 지점에서는 OpenAI의 ChatGPT로 ‘래터럴 무브먼트’와 자격 증명 매핑 최적화 조언을 받아 진행했다. 보안업체 Gambit Security는 이 침해를 신규 위협헌팅 기법을 시험하던 중 포착했으며, “이 현실은 우리가 알던 게임의 규칙을 바꾼다”고 평했다.

왜 이게 ‘클로드 탈옥 공격’만의 문제가 아닌가

이는 1년이 채 안 되는 기간에 공개된 두 번째 클로드 기반 공격이다. 앞서 앤트로픽은 국가지원 해커가 클로드 코드로 전술 작업의 80~90%를 자율 실행하려 한 스파이 캠페인을 차단했다고 밝혔다. 그러나 멕시코 사례는 이미 늦었다. 동시에 블룸버그·크라우드스트라이크 등 독립 연구들이 같은 패턴을 지목한다. 러시아어권 해커 소그룹이 상용 AI로 55개국 600+ FortiGate를 5주 만에 뚫었고, 크라우드스트라이크 2026 위협 보고서는 AI 활용 적대 행위가 전년 대비 89% 증가, 평균 ‘브레이크아웃’ 시간이 29분(최단 27초)으로 단축됐음을 제시한다. 핵심은 공격자가 네 도메인을 연쇄적으로 엮어 속도와 파괴력을 끌어올린다는 점이다. 이 연쇄는 클로드 탈옥 공격이 보여준 전형적 패턴이기도 하다.

방어 체계가 놓치는 네 개 도메인

도메인 1: 엣지 디바이스·비관리 인프라

VPN, 방화벽, 라우터 같은 엣지는 엔드포인트 에이전트나 텔레메트리가 거의 없어서 공격자에게 ‘정문’ 역할을 한다. 조직의 네트워크 장비는 현대적 보안 도구가 부재해 방어자에겐 블랙박스에 가깝다. 실제로 2025년 중국 연계 활동은 38% 증가했고, 악용 취약점의 40%가 인터넷 노출 엣지를 겨눴다. PUNK SPIDER는 패치되지 않은 웹캠 하나로 전사 랜섬웨어 배포의 발판을 마련했고, 다수 침해의 시작점은 제로데이가 아니라 노출된 관리 인터페이스와 약한 자격 증명이었다.

도메인 2: 아이덴티티 — 보안의 ‘연약한 복부’

멕시코 공격자들은 멀웨어 대신 프롬프트를 썼고, 탈취한 자격 증명과 토큰 자체가 ‘공격’이었다. 2025년 탐지의 82%가 멀웨어 없이 발생했다는 통계가 이를 뒷받침한다. EDR은 파일 위주, 이메일 게이트웨이는 URL 위주로 사냥하지만, 이 흐름은 포착하지 못한다. 다수 조직은 엔드포인트에 치우친 탓에 ‘아이덴티티·클라우드 부채’를 떠안았고, 적들은 그 틈을 판다. 헬프데스크 사회공학으로 초기 접근을 얻거나, AD 에이전트·Entra ID 정책·SSO를 하이재킹해 내부 보험 증권까지 열람, 몸값 산정에 활용하는 사례가 나타났다.

도메인 3: 클라우드와 SaaS — 데이터가 사는 곳

클라우드 인지형 침해는 37% 증가, 국가 연계 타깃팅은 266% 급증했다. 35%의 클라우드 사고는 ‘유효 계정’ 악용이었고 멀웨어는 쓰이지 않았다. BLOCKADE SPIDER는 SaaS에서 데이터를 빼내고 Microsoft 365의 전달·삭제 규칙을 조작해 경보를 숨겼다. MURKY PANDA는 신뢰된 Entra ID 테넌트 연결을 발판으로 상류 공급자를 거쳐 하류 고객사에 잠복, 엔드포인트를 건드리지 않고도 이메일·운영 데이터를 장기간 수집했다. 이는 전통적 취약점이 아니라 ‘신뢰 관계’의 무기화다.

도메인 4: AI 도구·인프라 — 가장 새로운 블라인드스폿

불과 1년 전엔 존재하지 않던 이 도메인은 이번 멕시코 사례와 조직 리스크를 직접 잇는다. 2025년 8월, 공격자들은 악성 npm 패키지로 로컬 AI CLI(클로드·제미니 포함)를 하이재킹해 인증 자료·암호자산 탈취 명령을 생성, 90개 이상 조직에 영향을 줬다. FANCY BEAR는 실행 중 Hugging Face의 대규모 언어모델(Qwen2.5-Coder-32B-Instruct)을 호출해 정찰 기능을 ‘실시간 생성’하는 LAMEHUG 변종을 전개했다. Langflow의 코드 주입 취약점(CVE-2025-3248) 악용, 정당한 Postmark 연동으로 위장한 악성 MCP 서버를 통한 AI 생성 이메일 포워딩도 관찰됐다. 심지어 방어자 겨냥 프롬프트 인젝션이 난독화 스크립트 속에 숨겨져, LLM 분석을 속여 ‘무해’로 오인하게 만들었다. 조직이 AI 에이전트나 MCP 연동 도구를 쓰는 순간, 작년엔 없던 공격면이 생긴다. 다수 SOC는 아직 이 면을 보지 못한다. 바로 이런 이유로 클로드 탈옥 공격은 우리 보안 스택의 사각을 드러내는 상징 사례가 된다.

월요일 아침에 바로 할 일: 네 도메인 교차 점검

엣지: 전수 자산화와 72시간 패치, 제로트러스트

모든 엣지를 인벤토리하고, 중대 취약점 공개 72시간 내 패치를 표준화하라. 에이전트를 올릴 수 없다면 로그를 반드시 SIEM으로 수집하라. 모든 엣지가 이미 침해됐다고 가정하고 제로트러스트를 기본으로 삼아라.

아이덴티티: 피싱 저항형 MFA와 동기화 계층 감사

사람·서비스·비인간 계정 전반에 피싱 저항형 MFA를 강제하고, 하이브리드 아이덴티티 동기화 계층을 트랜잭션 단위로 감시하라. 공격자가 아이덴티티를 장악하는 순간 회사도 장악된다.

클라우드·SaaS: OAuth 가시성과 신뢰 검증

OAuth 토큰 부여·폐기를 전수 모니터링하고, Microsoft 365 전달 규칙을 감사하라. 모든 SaaS-간 연동을 인벤토리하며, SSPM이 OAuth 흐름을 다루지 못한다면 이미 공격자가 그 틈을 쓰고 있다고 봐야 한다.

AI 도구: 에이전트 행위 가시화와 접근 통제

“지난 24시간 동안 우리 AI 에이전트가 무엇을 했는가?”에 SOC가 답하지 못한다면 즉시 격차를 해소하라. 모든 AI 도구·MCP 서버·CLI 연동을 인벤토리하고, 사용 접근을 통제하라. AI 에이전트는 새로운 공격면이다. 클로드 탈옥 공격 같은 교차 도메인 침해를 막으려면 그에 걸맞은 관측과 통제가 필요하다.

우선 위 네 도메인부터 시작하라. 각 도메인에 대한 텔레메트리 커버리지를 지도화하고, 도구·팀·경보가 부재한 ‘무인지대’를 찾은 뒤 30일 안에 최고 위험 군을 닫아라. 평균 브레이크아웃은 29분, 최단은 27초다. 공격자는 기다리지 않는다 — 클로드 탈옥 공격이 이미 그 사실을 증명했다.