"해당 기능이 조작돼 임의의 코드를 실행하는 데 악용될 수 있음을 인지하고 있으나, 이는 설계된 기능 범위에 해당하며 보안 취약점이 아닙니다." - 앤트로픽(Anthropic), 펜테라랩스의 해킹 실증 제보에 대한 공식 답변

 

 우리의 업무 생산성을 극대화해 주는 PC 설치형 'AI 에이전트'. 하지만 이 똑똑한 비서가 해커의 명령을 충실히 수행하는 '이중 스파이'로 돌변한다면 어떻게 될까요?

 

 최근 보안 기업 펜테라랩스(Pentera Labs)의 레드팀 연구원들이 앤트로픽의 PC용 AI 에이전트인 '클로드 데스크톱(Claude Desktop)'을 악용해 피해자의 PC에서 완전한 원격 코드 실행(RCE) 권한을 탈취하는 데 성공했습니다.

 

 이 충격적인 해킹 시연이 B2B 기업 보안에 던지는 경고와, 왜 우리가 AI 에이전트를 새로운 시각으로 통제해야 하는지 3가지 핵심 포인트를 통해 분석합니다.

🔄 1. 동기화 기능의 함정: 악성 프롬프트의 '자동 배달'

 펜테라랩스의 공격은 고도의 악성코드가 아닌, 사용자가 AI를 무한히 신뢰한다는 심리와 클로드의 '편의 기능'을 역이용했습니다.

공격자는 먼저 제3자 플랫폼을 통해 피해자의 이메일을 해킹하여 클로드 계정에 침투합니다. 그리고 클로드의 '개인화(Custom Instructions/Personalization)' 설정에 악성 프롬프트(Base64로 인코딩된 지침)를 은밀하게 주입합니다.

 

 클로드 데스크톱은 맥OS, 윈도우 등 사용자의 모든 기기와 세션 간에 이 설정을 실시간으로 동기화합니다. 즉, 피해자가 다음 날 출근해 자신의 업무용 PC에서 평소처럼 클로드를 실행하고 대화를 시작하는 순간, 백그라운드에서는 해커가 심어둔 오염된 지침이 피해자 몰래 자동 실행되는 것입니다.

💣 2. MCP 커넥터와 리버스 셸: '기능'이 '무기'가 되다

 이 공격이 치명적인 이유는 클로드 데스크톱이 로컬 시스템의 도구를 제어할 수 있는 MCP(Model Context Protocol) 커넥터를 지원하기 때문입니다.

 

 만약 피해자(주로 개발자)의 PC에 명령 실행이 가능한 도구가 설치되어 있다면, 오염된 클로드는 이를 활용해 해커의 원격 서버와 연결되는 '리버스 셸(Reverse Shell)'을 실행하여 PC를 완전히 장악해 버립니다. 명령 실행 도구가 없더라도 안심할 수 없습니다.

 

 클로드는 피해자에게 실제 앤트로픽 사이트의 링크와 자주 쓰이는 이모지를 섞어 "문제를 해결하려면 이 프로그램을 다운로드하라"는 가짜 오류 메시지를 띄웁니다. 평소 신뢰하던 AI 비서가 내놓은 해결책이기에, 사용자는 아무 의심 없이 악성 소프트웨어를 설치(피싱)하게 됩니다.

🚨 3. 개발자 PC가 뚫린다: 클라우드 생태계 전체의 위협

 이러한 공격의 주된 타깃은 AI 툴을 적극적으로 사용하는 '개발자'입니다. 개발자의 PC에는 API 키, 클라우드 자격 증명(AWS, Azure 등), 토큰, 소스 코드 저장소(Git) 접근 권한 등 기업의 핵심 기밀이 집중되어 있습니다. 해커는 클로드 데스크톱을 징검다리 삼아 개발자 PC를 장악한 뒤, 기업의 대규모 클라우드 인프라 내부로 측면 이동(Lateral Movement)하여 치명적인 데이터 유출 사태를 일으킬 수 있습니다.

 

 더욱 심각한 것은 앤트로픽 측의 입장입니다. 그들은 이 실증 결과를 보고받고도 "이는 시스템 결함이 아니라 설계된 대로 작동하는 '기능(Feature)'"이라고 답했습니다. 즉, 제조사 차원의 보안 패치(Bug Fix)를 기대하기 어렵다는 뜻입니다.

💡 결론: AI 데스크톱 앱을 '고위험 권한형 소프트웨어'로 취급하라

 "AI가 내 시스템의 파일을 읽고, 코드를 실행하게 놔두는 것"은 엄청난 보안 리스크를 수반합니다. 기업의 CISO와 보안 조직은 AI 에이전트 도입 시 생산성만을 맹신해서는 안 됩니다. 펜테라랩스의 권고처럼, 클로드 데스크톱과 같은 AI 비서를 '파일 읽기 및 코드 실행 권한을 가진 고위험 권한형 소프트웨어(Privileged Software)'로 철저히 재분류해야 합니다.

 

 기업은 AI 비서의 설정 변경 사항을 실시간으로 모니터링하고, 개발자 PC와 내부망에서 AI와 연동 가능한 외부 확장 프로그램(커넥터)의 설치를 엄격히 제한하는 최소 권한 원칙(Zero Trust)을 즉각 적용해야 할 때입니다.