Sysdig가 JADEPUFFER라고 이름 붙인 사례는 AI 보안 담론에서 과장하기 쉬운 소재다. “AI가 랜섬웨어를 직접 수행했다”는 문장만 떼어내면 곧장 공상과학처럼 들린다. 하지만 원문이 보여주는 장면은 그보다 훨씬 현실적이고 불편하다. 공격은 새로운 마법 같은 기법으로 시작하지 않았다. Langflow의 알려진 취약점 CVE-2025-3248이었다.
이 취약점은 이미 2025년 4월 패치가 나왔고, CISA의 적극 악용 취약점 목록에도 올라가 있었다. 그럼에도 패치되지 않은 서버가 있었고, 에이전트는 그 틈으로 들어왔다. 이후 흐름은 자격증명 수집, 지속 접근 확보, 별도 프로덕션 MySQL 서버 접근으로 이어졌다. 보안팀 입장에서 낯선 공격 체인이라기보다 너무 익숙한 실패 목록에 가깝다.
Sysdig가 “사람이 조종한 흔적이 약하다”고 본 단서는 속도와 문체다. 에이전트는 관리자 계정 생성을 실패한 뒤 31초 만에 오류를 진단하고, 잘못 만든 계정을 삭제하고, 새 계정을 만드는 수정 명령을 보냈다. 또 AI가 생성한 코드에는 특정 데이터베이스를 먼저 삭제하려는 이유를 설명하는 자연어 주석이 들어 있었다. 인간 공격자가 굳이 남길 법하지 않은 친절한 주석이다.
피해 결과도 묘하다. 1,342개의 설정 항목이 암호화되고 원본 테이블은 삭제됐지만, 복호화 키는 한 번 화면에 표시된 뒤 저장되거나 전송되지 않았다. 랜섬을 내도 복구가 불가능한 구조였다는 뜻이다. 비트코인 주소 역시 실제 범죄 인프라라기보다 개발자 문서에서 흔히 쓰이는 예시 주소처럼 보였다고 한다. 이 지점은 사건을 더 무섭게도, 동시에 더 미숙하게도 보이게 만든다.
중요한 단서도 남아 있다. 피해자, 법집행기관, 다른 보안 업체의 독립 확인은 아직 없고, Sysdig는 자동화 공격 탐지 제품을 판매하는 회사다. 따라서 이 사례를 최종 결론처럼 소비하기보다는, 공개된 정황을 기준으로 위험 모델을 갱신하는 편이 맞다.
그 위험 모델의 핵심은 명확하다. AI 에이전트가 보안 부채를 없애주지 않는다. 오히려 패치 지연, 기본 비밀번호, 노출된 secret, 넓은 privileged access, 세션 실시간 감시 부재 같은 오래된 문제를 더 빠른 실행 루프로 밀어 넣는다. 방어도 같은 속도 감각을 가져야 한다. 권한은 짧고 좁아야 하고, secret은 vault와 rotation을 전제로 관리되어야 하며, privileged session은 사고가 끝난 뒤 로그로만 확인해서는 늦다.