‘AI가 처음으로 랜섬웨어 공격을 혼자 수행했다’는 헤드라인은 강력했다. Sysdig가 추적한 JadePuffer 사건에서 AI 에이전트는 실제로 기술 실행의 상당 부분을 맡았다. Langflow의 알려진 취약점을 통해 들어가고, production MySQL 서버로 이동하고, 또 다른 취약점을 이용해 관리자 권한을 얻었다. 이후 1,300개가 넘는 설정 레코드를 암호화했고, 랜섬노트와 비트코인 주소까지 남겼다.
하지만 TechCrunch가 정리한 후속 설명은 이 사건을 조금 다르게 보게 만든다. Sysdig의 Michael Clark에 따르면 인간은 여전히 작전의 앞단에 있었다. 피해자를 선택했고, command-and-control 서버와 stolen data용 staging server를 준비했으며, 침입에 쓰인 데이터베이스 자격증명도 별도로 확보해 작전에 제공했다. AI가 모든 것을 스스로 발견하고 결정한 공격은 아니었다.
그래서 JadePuffer의 의미는 “해커가 사라졌다”가 아니라 “해커의 위치가 바뀌었다”에 가깝다. 인간은 목표와 인프라, 초기 접근 조건을 제공하고, 에이전트는 침투 이후의 반복적 실행을 빠르게 처리한다. 실패한 로그인을 31초 만에 고치고, 자연어 주석처럼 자기 reasoning을 남기며 계속 움직였다는 대목은 방어팀에게 훨씬 현실적인 경고다.
또 하나의 혼동도 정리됐다. 공격 중 OpenAI, Anthropic, DeepSeek, Gemini 키가 발견됐다는 사실은 여러 모델이 공격을 나눠 수행했다는 증거가 아니었다. Clark의 설명에 따르면 그것들은 에이전트가 Langflow 호스트에서 훔쳐간 loot에 가까웠다. 실제 JadePuffer를 구동한 모델은 확인되지 않았고, 시스템 프롬프트나 구성도 알려지지 않았다.
이번 사건을 모델 브랜드 논쟁으로만 보면 핵심을 놓치기 쉽다. 더 중요한 질문은 어떤 모델이었느냐보다, 에이전트가 어떤 권한을 가졌고 어떤 네트워크 경로를 따라 움직였으며, 인간이 어디까지 목표와 자원을 공급했느냐이다. AI 보안의 다음 위협은 영화적 의미의 완전 자율 악당보다, 인간이 범죄의 PM으로 남고 에이전트가 실행팀이 되는 구조에 가까울 수 있다.