AI 스캔 파이프라인이 중소기업을 노리기 시작했다

보호막이 사라졌다

지금까지 중소기업이 사이버 공격을 피할 수 있었던 이유는 보안이 강해서가 아니었다. 공격자가 시간을 투자할 가치가 없었기 때문이다. 전문 해커가 중소기업 하나를 공략하려면 정찰, 맞춤형 익스플로잇 개발, 수동 침투 작업에 며칠이 걸렸다. 연간 매출 수억 원 규모의 소규모 사업체에서 기대할 수 있는 수익으로는 그 인건비를 정당화할 수 없었다.

그 계산이 달라졌다. AI가 익스플로잇 개발을 자동화하면서 표적당 비용이 사실상 0에 가까워졌다. '우리는 너무 작아서 표적이 안 될 것'이라는 보호막은 더 이상 작동하지 않는다.

두 단계 공격 파이프라인

공격자는 표적을 먼저 고르지 않는다. 먼저 전체를 스캔한다.

Shodan과 Censys 같은 도구는 인터넷에 노출된 모든 기기를 지속적으로 인덱싱한다. 초당 약 36,000건의 스캔이 이루어지며, 전체 IPv4 주소 공간이 하루에도 여러 번 지문채취된다.^[1] 각 결과에는 서버 소프트웨어, 버전, 열린 포트, CMS 이름, 플러그인 목록이 기록된다. 공격자에게 드는 비용은 API 키 하나뿐이다.

여기에 AI가 개입하는 것이 2단계다. 스캔 결과가 스코어링 모델에 입력된다. 각 표적은 두 축에서 평가된다:

1. 수익성 신호 — 전자상거래 지표, 도메인 연령, 연결된 결제 수단, 소셜 프로필, 추정 트래픽
2. 공략 용이성 신호 — 알려진 CVE와 대조한 버전 지문, 노출된 관리자 패널, 소프트웨어 정보가 담긴 HTTP 헤더, 구버전 플러그인

고점수 표적은 익스플로잇 대기열에 들어간다. LLM이 해당 표적의 CVE 설명을 입력받아 동작하는 익스플로잇 체인을 생성한다. 연구에 따르면 LLM은 수동 코딩 대비 80% 빠르게 익스플로잇 코드를 생성하며, OS별 익스플로잇 생성 성공률은 90%에 달한다.^[2] 전문 연구원이 표적 하나에 며칠을 쏟던 작업이 이제는 수천 개 표적에 자동으로 동시에 실행된다.

2025년 Darktrace는 완전히 AI가 생성한 악성코드 샘플이 CVE-2025-55182(React2Shell)를 익스플로잇한 실제 침해 사례를 포착했다. 정찰부터 익스플로잇 코드, 페이로드 배포까지 전 과정이 기계가 만들어낸 것이었다.^[3]

패치 시간 격차: 4시간 대 14일

새로운 CVE가 공개되면, 공격자 인프라는 공개 후 4시간 이내에 취약한 표적 스캔을 시작한다. 반면 소규모 사업자의 WordPress 관리자는 치명적인 보안 패치를 적용하는 데 평균 14일이 걸린다.^[4] 이 10일의 노출 창이 대부분의 중소기업 침해가 시작되는 구간이다.

WordPress 생태계의 규모가 이 문제를 구체화한다. 2025년 기준, 보안 데이터베이스는 WordPress 플러그인 및 테마 생태계 전반에 걸쳐 64,782개의 취약점을 추적 중이다. 2024년 한 해에만 7,966개의 새로운 취약점이 공개됐다 — 2023년 대비 34% 증가다. 그리고 그 취약점의 35%가 2025년까지도 패치되지 않은 상태다. 알려진 플러그인 취약점 세 개 중 하나는 사용 가능한 보안 업데이트 자체가 없다. 성공적인 WordPress 침해의 92%가 코어 소프트웨어가 아닌 플러그인과 테마에서 시작된다.^{[4] [5]}

300만 사이트에 설치된 인기 플러그인 하나가 CVE 공개 순간부터 300만 개의 잠재적 익스플로잇 대기열 항목이 된다. 공격자가 선택하는 것이 아니다 — 스코어링 모델이 선택한다.

랜섬웨어의 민주화

랜섬웨어의 경제 논리도 달라졌다. AI 자동화 익스플로잇은 표적당 비용을 사실상 0으로 낮췄다. 2025년 기준 연간 50% 성장 중인^[6] RaaS(Ransomware-as-a-Service) 그룹은 수천 개 중소기업 표적에 동시에 자동화된 파이프라인을 가동한다. 소규모 몸값 다수의 합계가 대기업 단일 표적보다 수익성이 높고, 대규모 사고 대응을 유발할 위험은 훨씬 낮다.

현대 랜섬웨어 공격은 이중 갈취를 사용한다. 암호화 전에 데이터를 먼저 탈취한다. 백업 전략만으로는 충분하지 않다. 공격자는 이미 데이터를 확보한 뒤 공개하겠다고 협박한다. 의료, 법률, 회계처럼 규제를 받는 중소기업의 경우 몸값 외에도 규제 위반 책임이 따른다.

수치는 명확하다. 전체 사이버 공격의 43%가 중소기업을 표적으로 한다.^[8] 중소기업 침해의 88%에 랜섬웨어가 포함된다.^[6] 중소기업의 75%는 랜섬웨어 공격 후 사업을 이어갈 수 없다고 답한다.^[6] 60%는 6개월 이내에 폐업한다.^[7]

중소기업이 해야 할 일

목표는 해킹이 불가능해지는 것이 아니다. 공격자의 스코어링 모델에서 상위 백분위에 들지 않는 것이다.

1. 빠르게 패치하라. 평균 14일 패치 주기는 위험하다. WordPress 코어, 플러그인, 테마의 자동 업데이트를 설정하라. 플러그인 개발자가 프로젝트를 중단하고 패치 없이 CVE가 공개됐다면, 그날 해당 플러그인을 삭제하라.
2. 버전 지문을 숨겨라. HTTP 응답의 Server: Apache/2.4.51 헤더 하나가 스코어링 모델에 무료 데이터를 제공한다. HTTP 헤더, HTML 메타 태그, generator 필드에서 버전 정보를 제거하거나 일반화하라.
3. 사용하지 않는 플러그인과 테마를 삭제하라. 설치된 플러그인 하나하나가 공격 표면이다. 비활성 플러그인에 알려진 CVE가 있다면 활성 플러그인만큼 공략 가능하다. 사용하지 않는 것은 삭제하라.
4. 노출된 관리자 패널을 차단하라. 추가 제어 없이 접근 가능한 /wp-admin 경로는 스코어링 신호다. 최소한 IP 허용 목록이나 2단계 인증을 적용하라.
5. 노출 항목을 인벤토리하라. Shodan이 보는 것을 모르면 스코어를 낮출 수 없다. 무료 도구로 자신의 인프라에 기본 외부 스캔을 실행하면 정확히 무엇이 노출되어 있는지 확인할 수 있다.

이 중 어느 것도 전담 보안팀이 필요하지 않다. 월 1회 30분의 점검으로 충분하다.

최근 자신의 사이트 공격 표면을 점검해 본 적 있으신가요? 운영 중인 사이트에 6개월 이상 업데이트가 없는 플러그인이 몇 개나 있는지 확인해 보셨나요?

참고 자료

1. allaboutai.com — AI 사이버공격 통계 2026
2. Ethical Hacking Institute — 해커가 LLM을 사용해 OS별 익스플로잇 코드를 생성하는 방법
3. Darktrace — AI/LLM이 생성한 악성코드로 React2Shell 익스플로잇
4. Patchstack — WordPress 보안 현황 2025
5. WP Security Ninja — WordPress 취약점 데이터베이스 2026
6. programs.com — 최신 중소기업 랜섬웨어 통계 (2026)
7. spacelift.io — 2026년 알아야 할 중소기업 사이버보안 통계 60가지
8. alphacis.com — 2026년 중소기업 사이버공격: SMB가 1순위 표적인 이유