AI 에이전트를 만드는 도구가 해커의 도구가 되기까지
3월 17일 저녁 8시 5분, 보안 공지 하나가 올라왔다.
AI 에이전트를 만드는 도구 Langflow에서 심각한 보안 구멍이 발견됐다는 내용이었다. 인증 없이, 웹 요청 하나로, 서버에서 아무 코드나 실행할 수 있다는 거였다.
다음 날 오후 4시 4분. 정확히 20시간 뒤.
첫 번째 공격이 시작됐다.
공격자들은 따로 해킹 도구를 구하지도 않았다. 보안 공지에 적힌 기술적 설명만 읽고, 직접 공격 도구를 만들었다.
자동화 스캐너가 인터넷 전체를 훑으며 취약한 서버를 찾았다. 찾으면 바로 파고들었다. 디렉토리를 뒤지고, 시스템 정보를 빼내고, 그리고 본게임에 들어갔다.
환경변수 전체를 덤프했다.
AI 에이전트를 만들려면 다양한 외부 서비스의 열쇠가 필요하다. OpenAI API 키, Anthropic API 키, AWS 자격증명, 데이터베이스 비밀번호. 이것들이 전부 환경변수에 들어 있었다. 공격자는 30시간 안에 이 모든 걸 가져갔다.
AI 에이전트를 만드는 도구를 뚫으면, 그 에이전트가 접근하는 모든 서비스의 열쇠를 한꺼번에 손에 넣을 수 있다. 하나의 구멍이 수십 개 서비스로 이어지는 구조다.
더 충격적인 건 그다음이었다.
"패치됐다"는 발표가 나왔다. 관리자들은 안심하고 업데이트했을 것이다. 보안팀은 "해결됨"으로 티켓을 닫았을 것이다.
그런데 보안 전문 업체 JFrog가 확인해보니, 그 "패치된" 버전에 실제 수정 코드가 포함되어 있지 않았다.
패치했다고 믿었는데, 서버는 여전히 뚫려 있었다.
"패치됐다"는 말을 믿을 수 없는 시대가 된 것이다.
이건 Langflow라는 하나의 도구만의 이야기가 아니다.
AI 에이전트를 만드는 도구들, 에이전트가 외부 서비스와 소통하는 프로토콜(MCP)의 서버들, 에이전트 프레임워크의 부품들 — 이 생태계 전체가 "빠르게 만들고, 보안은 나중에" 모드로 달리고 있다.
분석에 따르면 MCP 서버의 38%가 인증 없이 운영되고 있다. 에이전트 프레임워크 43개 부품에서 공급망 취약점이 발견됐다. 두 달간 30개의 보안 취약점이 쏟아졌다.
이 블로그에서 3월 한 달간 다뤘던 사건들 — 보안 도구가 해킹 도구가 된 Trivy 사건, AI 샌드박스가 DNS로 뚫린 Bedrock 사건, AI가 권한 결정을 내리는 Auto Mode 논쟁 — 은 하나의 메시지를 향한다.
AI 에이전트 생태계의 모든 층이 공격 표면이다. 어디를 뚫어도 들어갈 수 있다.
조직의 평균 패치 주기는 20일이다. 공격자가 공격을 시작하는 데 걸린 시간은 20시간이다.
1,000 대 1.
이 격차를 패치 속도만으로 메울 수 있을까. 보안 전문가들의 답은 "행위 기반 탐지"다. 어떤 취약점을 쓰든 공격자가 결국 하는 행동은 비슷하다 — 민감 파일을 읽고, 외부 서버로 데이터를 보내고, 추가 도구를 다운로드한다. 그 행동을 잡으면 된다.
하지만 이건 보안 인프라를 갖춘 조직의 이야기다. AI 에이전트 프레임워크를 설치하고 클라우드에 바로 배포하는 수많은 팀에게는 해당되지 않는다.
20시간. 해커에게 주어진 시간이자, 방어자에게 남은 시간이다.