Claude AI를 이용해 미국 정부와 산업 목표를 해킹한 중국?

[위종민]

중국 정부가 후원하는 조직이 Claude AI를 활용해 약 30개의 정부 및 산업 목표를 해킹했다고 하네요. 

AI VS AI의 사이버 공격 및 방어전을 준비해야 한다고 주장합니다. 

다음은 제공한 기사 원문을 기준으로, 지침에 따라 전문 직역·중립 톤·순서 유지·누락 없음으로 번역한 내용이야.



중국의 Claude AI 활용 해킹은 AI 사이버 방어 수요를 촉발할 것이라고 전문가들은 말한다 “우리는 이제 에이전트형(Agentic) 사이버 공격에 맞서 에이전트형 사이버 방어가 배치되는 모습을 보게 될 것이다.” — 국방부 합동인공지능센터 창립자 잭 섀너핸 중장

Sydney J. Freedberg Jr., 2025년 11월 20일 오후 12시 20분

공유하기

펜타곤은 인공지능의 성장을 다루고 있다. (브레이킹 디펜스 그래픽, 원본 뇌 그래픽: 게티)

워싱턴 — 중국이 공개적으로 접근 가능한 AI 기술을 사용해 사이버 공격을 수행했다는 보고 이후, 전문가들은 사이버 방어자들에게 그들 역시 AI의 도움을 필요로 하게 될 것이라고 경고하고 있다.

“지난주 우리는, 우리의 적들이 이전에는 본 적 없는 속도와 규모의 [공격]에 도달할 수 있는 능력이 있다는 첫 번째 폭로를 맞았다”고 NSA 및 사이버사령부의 전 사성 지휘관 폴 나카소네는 여기 워싱턴에서 화요일 열린 아스펜 사이버 서밋에서 말했다. “그러면 질문은 우리가 여기에 대해 무엇을 할 것인가가 된다.

“내 생각에 우리가 하게 될 일은, 그리고 앞으로 6개월 안에 실제로 보게 될 일은, 인공지능이 사이버 방어 측면에서 어떻게 등장하는가일 것”이라고 나카소네는 계속했다. “우리는 방어적 관점에서 인공지능으로 무엇을 할 수 있는지에 대해 엄청나고 거대한 진보를 보게 될 것이라고 생각한다.”

Anthropic은 최근 “중국 정부 후원 조직”이 합법적인 사이버 보안 검사자처럼 위장해 Claude Code AI를 속여 약 30개의 정부 및 산업 목표를 대신 해킹했다고 보고했다.

AI가 아직 인간 해커를 대체하지는 않지만, 전문가들은 AI가 적당히 숙련된 한 인간이 수행할 수 있는 공격의 수와 속도를 증폭할 수 있다고 입을 모았다. 본질적으로 이는 하나의 전투기 조종사가 지휘하는 무인 ‘충직한 동반자(loyal wingman)’ 드론의 사이버 공간 버전이다. 하지만 방어에는 이에 맞먹는 전력 증폭 장치가 지금까지 존재하지 않는다.

“우리는 이제 에이전트형 사이버 공격에 맞서 에이전트형 사이버 방어가 배치되는 모습을 보게 될 것이다.”라고 국방부 합동인공지능센터(JAIC) 창립자 잭 섀너핸은 말했다.

그러나 초인적 속도로 알고리즘 대 알고리즘을 맞붙게 하면, 양측 누구도 예상하지도 원하지도 않은 결과가 나올 수 있다.

제공

스폰서 게시물 운용자들은 KC-390에 날개 밑 프로브-도그(pod-and-drogue) 포드를 추가할 수 있으며, 필요하다면 엠브라에르가 미 공군 요구를 예상해 계속 연구 중인 붐 시스템도 가능하다. (엠브라에르 이미지)

차세대 KC-390 밀레니엄은 공군의 다임무 선택지를 확장한다 제트 추진 수송기의 속도, 생존성, 다임무 기동성은 미군과 NATO 동맹국을 위해 C-130의 실질적 대안으로 자리매김한다.

제공: 브레이킹 디펜스

“에이전트 속도의 알고리즘 전쟁은 어떤 군대에게도 매력적이다. 하지만 이런 즉흥적 방식으로 실행된다면, 우리는 꽤나 거친 여정을 맞이하게 될 것”이라고 섀너핸은 브레이킹 디펜스에 말했다. “이번 사례에서는 이러한 대형 언어 모델(LLM)의 알려진 한계점이 스스로를 드러냈고, 이는 인간이 개입과 감독 없이 에이전트형 AI가 작동하도록 신뢰하는 것이 미친 일임을 시사한다.”

섀너핸은 “고려해야 할 위험은 온갖 종류가 있다”고 말한다. “지금 핵 보유국 간의 글로벌 논의에서 목록 최상위에 있어야 할 위험 하나는, 이러한 자동화된 에이전트형 사이버 공격을 NC3(핵 지휘·통제·통신)에 허용할 경우의 잠재적 함의다. 그 결말은 좋지 않다.”

관련 기사: ChatNC3: 미국은 핵 지휘·통제·통신에서 AI를 신뢰할 수 있는가?



은탄환인가, 산탄총인가

Anthropic의 보고서와 전문가들이 주목하는 이번 Claude Code 공격의 전례 없는 점은, 해커가 공개적으로 접근 가능한 AI 도구를 사용해 최소한의 인간 감독으로 자율적인 사이버 공격을 수행한 첫 번째 사례라는 것이다.

전문가들이 브레이킹 디펜스에 말했듯, 이러한 AI ‘에이전트’는 여전히 인간에게 몇 가지 핵심 전략적 선택을 맡기고, AI 생성 보고서의 환각을 이중 점검하며, 가장 정교한 형태의 악성 코드를 직접 작성해 가장 단단한 목표를 관통하기는 했다. 하지만 AI는 통상적으로 시간이 많이 드는 단순 작업을 사실상 전기톱처럼 베어냈다: 잠재적 취약점 정찰, 비밀번호 탈취, 맞춤형 악성 코드 작성, 데이터 탈취, 분석, 그리고 결과를 깔끔하게 문서화하는 것까지.

전체적으로 Anthropic은 Claude Code가 “전술적 작업의 80~90%를 독립적으로 수행”했으며, “인간이 물리적으로 따라올 수 없는 속도”로 작동했다고 추정했다.

“사이버 작전에서 가장 시간이 많이 드는 두 가지 측면은 [첫째] 네트워크를 평가하는 것이고, 그리고 한 번 네트워크를 침투하고 목표한 파일을 내보낸 후, 그 모든 파일을 훑어보고 실제 정보 가치가 있는 것이 무엇인지 평가하는 과정이다.”라고 특별경쟁연구프로젝트(SCSP)의 수석 자문가 데이비드 린은 말했다. “보고서에 언급된 것처럼, 이러한 작업을 생성형 AI와 챗봇, LLM이 수행하도록 하면 80~90%의 최적화가 이루어진다.”

특히 놀라운 점은, 해커들이 초기 정찰부터 사후 분석까지 캠페인의 모든 단계에서 Claude Code를 사용할 수 있었다는 것이다. 이는 컬럼비아대 선임 연구원 제이슨 힐리가 주장한 바다.

힐리는 브레이킹 디펜스에 다음과 같이 말했다. “지금까지 AI가 공격 또는 방어의 일부에 도움을 줬다는 이야기는 언제나 NIST 사이버 보안 프레임워크(방어의 경우)나 MITRE ATT&CK 또는 킬 체인(공격의 경우)의 한두 부분에만 적용됐다. [하지만] Claude는 사실상 전체 체인을 자동화한 것으로 보인다.”

그렇다고 Claude Code나 다른 에이전트가 모든 목표에 대해 모든 행동을 수행할 수 있다는 의미는 아니다. “나는 이것이 소규모 방산 산업 기반(DIB) 업체들을 때리는 데는 훌륭할 수 있다고 상상하지만, 대형 업체들은 아닐 것이다.”라고 힐리는 말했다. “연방 기관들도 마찬가지다.”

실제로 브레이킹 디펜스와 이야기한 전문가 모두는, AI 에이전트들이 최소한 지금으로서는 가장 단단한 목표를 해킹할 능력은 없다고 입을 모았다. 특히 핵 지휘·통제 같은 최우선 국가안보 시스템이나, 스턱스넷 바이러스에 의해 공격당한 이란 핵 시설처럼 유명한 목표는 종종 ‘공중격리(air-gapped)’돼 있어, 물리적이든 무선이든 글로벌 인터넷과 연결이 없기 때문에 상업적 도구가 이들을 찾는 것조차 어렵다.

“아주 정교하고 복잡한 공격 — 예컨대 스턱스넷처럼 물리적 침투까지 필요한 공격 — 에 Claude가 매우 유용할 것이라고는 상상하기 어렵지만, 대규모 공격에는 유용할 것이다.”라고 새로운 미국안보센터(CNAS)의 국방 프로그램 연구원 조슈아 월린은 말했다. “Anthropic 보고서를 보면, 속도와 자동화가 매우 능력 있는 행위자에게조차 가치가 있었다는 느낌을 받는다.

“오픈소스 사이버 보안 도구(Claude Code 같은)의 사용은 고급 행위자가 자신들의 더 정교한 도구를 노출하지 않도록 도와준다.”라고 월린은 말했다. “그들은 ‘특제 소스’는 나중을 위해 아껴둘 수 있다.”

에이전트형 AI는 “잘 보안된 정부 네트워크를 침투하는 데 반드시 도움이 되는 것은 아닐 것이다.”라고 섀너핸도 동의했다. “[하지만] 한 명의 악의적 행위자가 LLM을 사용하면 수십 명의 인간이 단독으로 활동하는 것처럼 행동할 수 있으므로, 이는 저렴하고 쉬운 이점을 제공한다 — 그리고 보안이 잘 갖춰지지 않은 네트워크는 혹독하게 배우게 될 것이다.”

즉, AI 에이전트가 가장 단단한 목표를 쓰러뜨릴 수 있는 은탄환은 아니지만, 디지털 산탄총과 같으며, 많은 네트워크는 점토 비둘기처럼 쉽게 깨진다는 뜻이다.

그래서 고도로 정교한 국가들도 정예 사이버 팀을 보유하고 있음에도 불구하고 AI 보조 전력을 활용하고 싶어 한다고 전문가들은 동의했다. 사이버 전쟁에서도 물리적 전장과 마찬가지로, 수량은 그 자체로 하나의 질이다.

“중국의 APT(지속적 고급 위협)들이 AI를 사용해 전체 사건을 자동화한다면, 그들의 가장 약한 팀들조차 훨씬 더 생산적이게 된다.”라고 힐리는 말했다. “이는 더 낮은 비용으로 더 많은 목표가 공격되고, 최상위 팀은 가장 어려운 목표를 위해 아껴두게 된다는 의미다.”

“만약 어느 AI 스타트업이 방어 측면에서 — NIST 사이버 보안 프레임워크 전체 거의 전 영역에 걸친 성공을 — 달성했다면, 그 회사는 50억 달러의 가치를 인정받았을 것이고, 게임체인저로 널리 칭송받았을 것이다.”라고 그는 덧붙였다.

불행하게도, 아직 에이전트형 AI 방어가 실제로 가동되는 곳은 없는 것으로 보인다.

“지난 1년간 이런 일을 하기 위해 새로 생겨난 회사들이 무더기로 존재한다는 것은 알고 있다. 하지만 이번 사건은 그런 노력에 탄력을 줄 것이다.”라고 SCSP의 정보 담당 선임 이사 칩 우셔는 말했다. “이 사건은 방어자들이 AI 기반 시스템을 사용해 방어 작업을 서둘러야 한다는 중요성을 보여준다. … 이러한 AI 기반 공격을 방어하려면, 속도와 규모 때문에 당신 편에도 AI가 있어야 한다.”



번역 끝!

Chinese use of Claude AI for hacking will drive demand for AI cyber defense, say experts - Breaking Defense

Chinese use of Claude AI for hacking will drive demand for AI cyber defense, say experts - Breaking Defense

Chinese use of Claude AI for hacking will drive demand for AI cyber defense, say experts

“We’re now going to see agentic cyber defenses deployed against agentic cyber attacks,” said Lt. Gen. Jack Shanahan, founder of the Pentagon’s Joint Artificial Intelligence Center.

By Sydney J. Freedberg Jr. on November 20, 2025 12:20 pm

Share

Pentagon grapples with growth of artificial intelligence. (Graphic by Breaking Defense, original brain graphic via Getty)

WASHINGTON — In the wake of a report accusing China of using publicly available AI tech to launch cyberattacks, experts are warning cyber defenders they’re going to need some AI help of their own.

“Last week, we had the first revelation that there is a capability here that our adversaries can use that can get us to a speed and a scale [of attacks] we haven’t seen before,” said Paul Nakasone, the former four-star chief of the NSA and Cyber Command, at Tuesday’s Aspen Cyber Summit here in Washington. “The question becomes, what are we going to do about it?

“I think what we are going to do about it, and what you will see in the next six months, truly, is how does AI come on the cyber defense [side],” Nakasone continued. “I think we’re going to see tremendous, tremendous advances with regards to what we can do with artificial intelligence in a defensive mindset.”

A “Chinese state-sponsored group,” posing as legitimate cybersecurity testers, recently tricked Anthropic’s Claude Code AI into hacking roughly 30 government and industry targets on their behalf, the company reported.

While AI isn’t replacing human hackers, yet, it can multiply the number and speed of attacks one moderately well-trained human can conduct, experts agreed. In essence, it’s the cyberspace equivalent of unmanned “loyal wingmen” drones directed by a single fighter pilot. But there is, so far, no matching force multiplier for defense.

“We’re now going to see agentic cyber defenses deployed against agentic cyber attacks,” said Jack Shanahan, founder of the Pentagon’s Joint Artificial Intelligence Center.

Pitting algorithm against algorithm at superhuman speeds, however, could lead to results no human on either side expected, let alone desired.

presented by

Sponsored Post

Next-generation KC-390 Millennium expands multimission options for air forces

The jet-powered transport’s speed, survivability and multi-mission agility position it as a viable option to the C-130 for the US and NATO allies.

By Breaking Defense

“Algorithmic warfare at the speed of agents is enticing for any military. Yet if executed in this kind of slap-dash way, we’re in for a bit of a wild ride,” Shanahan told Breaking Defense. “In this case, the known limitations of these LLMs highlighted themselves in a way that suggests humans would be crazy to trust agentic AI to operate without human involvement and oversight.”

There are “all sorts of risks to consider,” Shanahan said. “One that should be at the top of the list in global conversations between nuclear states right now is the potential implications of allowing these kinds of automated agentic cyber attacks against NC3 [nuclear command, control, and communications]. That doesn’t end well.”

RELATED: ChatNC3: Can the US trust AI in nuclear command, control and communications?

Silver Bullets Or Shotgun Blasts

What’s unprecedented about the Claude Code attack, Anthropic’s report and the experts noted, is that it’s the first reported case of hackers using publicly available AI tools to conduct cyber attacks autonomously, with minimal human oversight.

These AI “agents” still required humans to make some key strategic choices, doublecheck AI-generated reports for hallucinations, and hand-code the most exquisite forms of malware to penetrate the hardest targets, experts told Breaking Defense. But the AI took a virtual buzzsaw to what’s normally time-consuming grunt work: scouting out potential weak points to stealing passwords, writing custom malware, exfiltrating data, analyzing it, even tidily documenting the results.  

Overall, Anthropic estimated Claude Code performed “80-90 percent of tactical operations independently” and at speeds “physically impossible” for humans to match.

“Two of the most time-intensive aspects of cyber operations are [first] assessing the networks, and then, once you penetrate the network and export the files that you’re targeting, sifting through all those files and assessing what has actual intelligence value to it,” said David Lin, a senior advisor at the Special Competitive Studies Project (SCSP). “Getting Gen AI and chatbots and LLMs to do [those] things, like the report says, increases optimization by 80 to 90 percent.”

What’s especially impressive is that the hackers were able to use Claude Code in every stage of their campaign, from initial reconnaissance to after-action analysis, argued Jason Healey, a senior research scholar at Columbia.

Until now, Healey told Breaking Defense, “whenever there are stories about AI helping some part of offense or defense, it has ever only applied to one or a few parts of the NIST Cybersecurity Framework (if it helps defense) or MITRE ATT&CK or Kill Chain (if offense). [But] Claude seems to have automated substantially the entire chain.”

That doesn’t mean Claude Code or other agents can perform all those actions against all targets. “I can imagine this being great to hit the smaller DIB [Defense Industrial Base] companies but not the majors,” Healey said. “Likewise for federal agencies.”

In fact, all the experts who spoke to Breaking Defense agreed that the AI agents aren’t up to hacking the hardest targets, at least for now. In particular, top-priority national security systems like nuclear command and control — or the Iranian nuclear sites famously attacked by the Stuxnet virus —  are often “air-gapped,” with no connection (whether physical or wireless) to the global internet, making it hard for commercially available tools to even find them in the first place.

“I can’t imagine Claude would be super useful for a very bespoke, very intricate attack, which also required physical penetration, à la Stuxnet, but would be useful for attacks at scale,” said Joshua Wallin, a defense program fellow at the Center for a New American Security. “My read from the Anthropic report [PDF] is that the speed and automation were of value, even to an otherwise highly capable actor.

“The use of open-source cybersecurity tools [like Claude Code] also helps a high-end actor avoid exposing their more bespoke tooling,” Wallin told Breaking Defense. “They can save the ‘special sauce’ for later.”

Agentic AI “won’t necessarily make it any easier to crack into well-secured government networks,” Shanahan agreed. “[But] one bad actor working with LLMs can act like a dozen or more human actors operating solo, [so] it offers a cheap, easy leg up — and those whose networks are not well-secured will learn the hard way.”

In other words, while AI agents aren’t a silver bullet that can kill even the toughest target, they’re still a digital shotgun blast, and many networks are as fragile as clay pigeons.

So even highly sophisticated nation-states with elite cyber teams will still want to leverage legions of AI assistants, the experts agreed. In cyber war, as on the physical battlefield, quantity has a quality all its own.

“If Chinese APTs [Advanced Persistent Threats] are using AI to automate an entire incident, it means their weakest teams will be far more productive,” Healey said. “This means more targets are hit for less cost and saving their higher performing teams for the hardest targets.”

“If an AI startup achieved this on the defensive side — success across almost the entire NIST Cybersecurity Framework — they would have a $5 billion valuation, and it would be widely touted as a gamechanger,” he added.

Unfortunately, it seems no one has gotten agentic AI defenses up and running yet.

“We know that there are bevy of new companies that sprouted up in the last year or so to do this sort of thing, but this incident should lend momentum to those efforts,” said Chip Usher, senior director for intelligence at SCSP. “This points up the importance for defenders to get cracking and using AI-enabled systems for defense. … If you’re going to defend against these AI enabled attacks, you need to have AI on your side to counter it, just because of the speed and scale.”

[Minowski(김유철)]

DDos 공격과 방어를 주고 받는 AI....... 공각기동대로 대표되는 SF 시대네요. 근데 Anthropic 저 양반들은 어떻게 알았을까요? 그것도 꽤 수상한데....

[위종민]

수많은 대화를 모니터링하거나 로그를 기록하고 있진 못했을 것 같은데, 해킹 성공 후에 대화창을 삭제하지 않고 앤트로픽에서 볼 수 있게 놔두고 있었던 걸까요? ㄷㄷ