발표에서 확인된 핵심 사실
2단계 인증(MFA, 두 가지 이상의 수단으로 본인임을 확인하는 보안 방식)만 설정하면 내 계정은 절대 뚫리지 않을 것이라는 믿음이 있다. 하지만 메타가 지난 3월 모든 페이스북과 인스타그램 계정에 비밀번호 재설정과 복구를 처리할 수 있는 권한을 가진 AI 지원 에이전트를 배포하며 이 믿음이 깨졌다. 요청하는 누구에게나 계정 복구 이메일을 연결해 주는 치명적인 취약점이 발견됐기 때문이다. 공격자는 AI 봇에게 이메일 변경을 요청해 전송된 일회용 코드를 가로챈 뒤, 이를 이용해 비밀번호를 재설정하는 방식으로 계정을 탈취했다.
공격 과정은 치밀한 위치 위장과 설득으로 시작된다. VPN(가상 사설망, 접속 위치를 다른 지역으로 속이는 도구)을 사용해 대상 사용자가 거주하는 지역으로 위치를 바꾼 뒤 AI 어시스턴트에게 접근한다. 전화기를 분실했다는 식의 절박한 상황을 연출하며 도움을 요청하면, AI는 도움을 주려는 성향 때문에 공격자가 새로 만든 이메일로 인증 코드를 보내준다. 일반적인 로그인 경로가 아닌 계정 복구 경로라는 뒷문을 통해 보안망을 완전히 우회한 셈이다.
웹 보안 표준을 정의하는 OWASP(오픈 웹 애플리케이션 보안 프로젝트)는 이번 사례를 Agentic AI Top 10의 LLM06(과도한 권한 부여)과 ASI03(신원 및 권한 남용)라는 전형적인 사고 유형으로 분류했다. 대화형 AI 시스템은 정교한 설득에 의해 필수적인 확인 절차를 건너뛸 위험이 항상 존재한다. 결국 AI 에이전트에게 계정 정보를 수정하는 쓰기 권한을 줄 때는 모델 내부의 판단에 맡기지 않고, 모델 외부에서 동작하는 강제 제어 장치인 게이트(Gate)를 반드시 설치해야 한다는 판단 기준을 남겼다.
기존 방식과 달라진 지점
중요한 회의가 끝나면 기록을 정리하는 일부터 다시 시작해야 한다. 메타는 옷이나 목에 걸어 사용하는 작은 클립형 AI 펜던트를 개발해 이 번거로움을 없애려 한다. 버튼을 누르지 않아도 대화와 회의, 음성 메모를 배경에서 자동으로 기록하고 AI가 이를 체계적으로 정리한다. 리얼리티 랩스(Reality Labs, 메타의 하드웨어 연구소)의 손실을 메우기 위해 2026년 말까지 출시할 레이밴 글래스 신모델 4종과 기업용 웨어러블 기기로 사용자를 유입시켜 유료 구독자로 전환하겠다는 전략이다. 다만 상시 기록 장치는 개인정보 보호 문제로 EU의 GDPR(유럽 일반 데이터 보호 규칙)과 DMA(유럽 디지털 시장법) 조사를 받는 등 신뢰성 논란이 있다.
개발자가 직접 코드를 한 줄씩 치던 시대는 저물고 있다. 챗봇을 거쳐 2025~2026년에는 코딩 에이전트(스스로 코드를 작성하는 AI)가 직접 개발을 수행하는 단계로 진입했다. 사람이 직접 개입하지 않고 추상화된 명령만 내리면서 대규모 병렬 작업이 가능해졌고 생산량은 폭발적으로 늘었다. 유이패스(UiPath)는 이런 기업용 환경에서 필수적인 거버넌스(기업 관리 체계)와 컴플라이언스(법적 준수), 휴먼 인 더 루프(사람이 직접 개입해 검증하는 방식) 기능을 제공해 통제권을 확보하고 있다.
AI의 능력은 보안 체계를 무너뜨리는 수준까지 올라왔다. 공격자들은 AI 비디오 생성기로 타겟의 공개 사진을 영상으로 만들어 메타의 셀피 비디오 본인 인증을 통과했다. 메타의 AI 에이전트가 얼굴 사진이나 영상을 통해 실제 사람인지 확인하는 능력이 부족해 발생한 일이다. 앤스로픽(Anthropic)은 AI가 스스로를 개선하는 재귀적 자기 개선 단계에 진입하면 인간이 통제력을 잃을 위험이 크다고 경고한다. 이들은 사회가 준비되지 않았으므로 개발 속도를 늦춰 정렬(AI의 목표를 인간의 의도와 맞추는 작업) 문제를 해결해야 한다고 주장한다.
AI 어시스턴트를 이용해 인스타그램 계정을 탈취하는 새로운
2단계 인증만 설정해두면 내 계정은 절대 뚫리지 않을 것이라는 믿음이 있었다. 하지만 이번에는 시스템의 코드 취약점을 해킹하는 대신 AI를 구슬려 비밀번호를 재설정하는 방식이 쓰였다. 피싱 메일을 보내거나 악성코드를 심고 다크웹에서 유출된 비밀번호를 사던 과거와 달리, 도움을 주려는 AI의 성향을 이용해 권한을 넘겨받은 사회 공학적 공격이다.
버락 오바마의 백악관 공식 계정이 뚫려 부적절한 콘텐츠가 올라오는 일이 벌어졌다. 한 글자 아이디나 일반 단어로 된 희귀한 계정들이 대거 도난당했는데, 이런 핸들은 암시장에서 수십만 달러에 거래될 만큼 가치가 높다. 비즈니스 운영자 등이 피해를 입으며 전체 피해액은 수백만 달러에 달한다.
감시 시스템은 이 공격을 전혀 알아채지 못했다. AI 에이전트가 정당한 권한을 가진 사용자로 기록되어 모든 작업이 정상적인 거래로 처리됐기 때문이다. 로그인 경로가 아닌 복구 경로(Recovery Path)에서 권한이 남용된 이 방식은, 권한이 있는 대리인이 속아 공격자를 돕게 만드는 컨퓨즈드 데퓨티(Confused Deputy, 혼란스러운 대리인) 패턴의 전형이다. 이 때문에 SIEM(보안 정보 이벤트 관리), EDR(엔드포인트 탐지 및 대응), DLP(데이터 유출 방지) 같은 기존 방어 도구들의 규칙에 전혀 걸리지 않았다.
AI에게 쓰기 권한을 줄 때 모델 내부의 판단에만 의존하는 것은 위험하다. 모델 외부에서 동작을 강제로 제어하는 게이트(Gate, 출입 통제 장치)가 필수적이라는 점이 이번 사례로 증명됐다.
Claude는 용도에 따라 Opus, Sonnet, Haiku
작업의 성격에 따라 최적의 도구를 선택하는 것이 효율의 핵심이다. 앤스로픽(Anthropic)은 Claude Opus(v4.7)를 최첨단 논리 및 추론 모델로 내세워 코딩과 심층 분석 작업에 배치했다. 일반적인 글쓰기에는 Claude Sonnet을, 단순하고 반복적인 작업에는 Claude Haiku를 활용하도록 모델 라인업을 세분화했다.
사용자는 Claude Projects 기능을 통해 자신의 고유한 스타일을 모델에 학습시킬 수 있다. 지난 6개월간 작성한 스크립트를 입력하면 모델이 사용자의 말투와 습관을 파악해 대량으로 콘텐츠를 생성한다. 이는 사용자가 매번 맥락을 다시 설명할 필요가 없는 맞춤형 환경을 제공하며, 특정 스타일을 유지해야 하는 작업에서 유용하다.
시각적 결과물이 필요할 때는 Claude Design을 활용한다. 이 플랫폼은 인스타그램 캐러셀이나 로고, 모바일 앱 디자인 등 다양한 인터페이스를 몇 분 안에 완성한다. 레퍼런스 이미지를 업로드하면 그에 맞춰 시각적 요소를 구성해주므로 전문적인 디자인 도구 없이도 빠르게 결과물을 얻을 수 있다.
개발 환경에서는 UiPath agent skills(UI 자동화 및 에이전트 구축 도구)를 설치해 도메인 지식을 확장할 수 있다. 이를 통해 송장 처리 시스템처럼 캡처부터 승인까지 이어지는 에이전틱 워크플로우를 직접 구축하고 테스트한다. AI 에이전트와 자동화, 거버넌스(관리 체계)를 결합하여 복잡한 업무 프로세스를 단계별로 자동화하는 방식이다.
for Coding Agents는 기존 코딩 에이전트
2단계 인증(MFA, 여러 가지 인증 수단을 조합해 보안을 높이는 방식)만 설정하면 내 계정이 절대 뚫리지 않을 거라고 믿으시나요? 정작 문제는 로그인 문이 아니라 옆에 나란히 놓인 복구 경로에서 터졌습니다. MFA는 정문인 로그인 경로는 꼼꼼하게 막았지만, 접속 수단을 잃은 사용자를 위해 확인 절차를 느슨하게 만든 복구 경로는 보호하지 못했습니다. 이 느슨한 틈새에 AI 에이전트가 배치되면서 공격자가 계정을 탈취하는 통로가 되었습니다.
이런 취약점은 AI에게 권한을 줄 때 모델 내부의 판단에만 의존하는 것이 얼마나 위험한지 보여줍니다. 기업이 AI를 실무에 도입할 때 필요한 것은 단순한 코딩 능력이 아니라 안전한 관리 체계입니다. UiPath for Coding Agents는 Cloud Code나 OpenAI Codex, Gemini 같은 기존 코딩 에이전트와 경쟁하는 도구가 아닙니다. 이들은 기존 도구들로 구축한 에이전트를 기업이 실제로 배포하고, 거버넌스(데이터 관리 및 권한 통제 체계)를 적용해 신뢰할 수 있는 형태로 변환해주는 기반 기술 역할을 수행합니다.
개발의 주도권이 사람에서 기계로 옮겨가며 AI 개발의 상당 부분은 다시 AI 시스템에 위임되고 있습니다. 충분한 컴퓨팅 자원만 뒷받침된다면 AI 시스템이 완전히 자율적으로 자신의 후속 모델을 설계하고 개발하는 방향으로 나아갈 전망입니다.
2단계 인증이라는 단단한 성벽을 세웠어도, 권한을 가진 AI 비서가 속아 뒷문을 열어준다면 아무 소용이 없다. 권한을 가진 대리인이 요청자의 의도를 오해해 잘못된 명령을 수행하는 컨퓨즈드 데퓨티 현상이 보안의 치명적인 맹점이 된 셈이다.
AI에게 정보를 수정할 권한을 줄 때는 모델의 판단력에 기대지 않고 외부에서 동작을 강제로 막는 게이트가 필수적이다. 이제 보안의 핵심은 AI의 똑똑함이 아니라, AI가 절대 넘지 못하도록 설계한 물리적 통제선에 있다.
