AI가 코드를 짜주는 시대, 악성코드도 예외는 아니었습니다. IBM X-Force가 2026년 초 랜섬웨어 공격을 분석하던 중, LLM(대형 언어 모델)이 생성한 것으로 강하게 의심되는 악성코드를 발견했습니다. 이름은 Slopoly입니다.
Slopoly가 뭔가
Slopoly는 랜섬웨어 조직 Hive0163이 사용한 백도어(backdoor) 악성코드입니다. 초기 침투 후 서버에 숨어 지속적인 접근 권한을 유지하는 역할을 합니다.
동작 방식은 이렇습니다:
C:\ProgramData\Microsoft\Windows\Runtime\경로에 설치- "Runtime Broker"라는 예약 작업으로 위장해 자동 실행
- 30초마다 C2(명령·제어) 서버에 heartbeat 전송
- 50초마다 새 명령을 확인하고
cmd.exe로 실행
기능 자체는 단순합니다. 하지만 IBM이 주목한 건 코드의 특징이었습니다.
AI가 만들었다는 증거
IBM X-Force가 Slopoly를 AI 생성 코드로 판단한 근거는 다음과 같습니다:
- 모든 줄에 상세한 주석 — 사람이 작성한 악성코드에는 거의 없는 패턴
- 구조화된 로깅 함수 — 에러 처리가 교과서적으로 깔끔
- 변수명이 의미 있는 영어 단어 —
heartbeatInterval,commandResponse등 - 일관된 코드 스타일 — LLM 출력의 전형적 특징
사람이 짠 악성코드는 보통 난독화되어 있고, 변수명도 의미 없는 문자열입니다. Slopoly는 그 반대였습니다.
왜 신경 써야 하나
Slopoly 자체는 기능적으로 "평범한" 백도어입니다. 하지만 의미는 다릅니다.
진입 장벽이 낮아졌습니다. 예전에는 악성코드를 만들려면 전문적인 프로그래밍 능력이 필요했습니다. 이제 LLM에 프롬프트 몇 개면 기본적인 악성코드 프레임워크를 만들 수 있다는 게 실전에서 증명된 셈입니다.
Hive0163은 Interlock 랜섬웨어를 운영하는 조직으로, NodeSnake, JunkFiction 등 다양한 악성 도구를 활용합니다. Slopoly는 이 도구 세트에 AI로 빠르게 추가된 새 무기입니다.
대응법
- EDR(Endpoint Detection & Response) 솔루션이 행동 기반 탐지를 지원하는지 확인
C:\ProgramData\Microsoft\Windows\Runtime\경로의 비정상 실행 파일 모니터링- 예약 작업(Scheduled Tasks) 목록에서 "Runtime Broker" 등 위장 이름 점검
- 네트워크에서 30초 간격의 반복 HTTP POST 요청 감시
AI 생성 악성코드는 시그니처 기반 탐지를 쉽게 우회합니다. 코드가 매번 다르게 생성될 수 있기 때문입니다. 행동 기반 탐지가 점점 더 중요해지는 이유입니다.
참고