시스코와 엔비디아 AI 에이전트 스킬 스캐너, 가짜 마켓플레이스 스킬에 속임수 당해
(dev.to)
시스코와 엔비디아의 AI 에이전트 스킬 스캐너가 정적 검사 후 외부 URL을 변경하는 방식의 공급망 공격에 무력화될 수 있음이 증명되어, AI 생태계 내 보안 신뢰성 확보를 위한 새로운 방어 체계 구축이 시급한 과제로 떠올랐습니다.
이 글의 핵심 포인트
- 1보안 기업 AIR가 시스코, 엔비디아, skills.sh의 AI 스킬 스캐너를 우회하는 악성 스킬의 존재를 증명함
- 2구글 스티치 랜딩 페이지 빌더로 위장한 악성 스킬이 약 26,000개의 에이전트에 도달함
- 3공격 방식은 설치 시점에는 안전한 패키지를 보여주고, 설치 후 외부 URL을 교체하여 악성 명령을 전달하는 구조적 허점을 이용함
- 4기존의 마켓플레이스 평판, GitHub 스타 수, 일회성 스캐너 검증만으로는 이러한 공급망 공격을 방어할 수 없음
- 5정적 패키지 검사와 동적 URL 호출 간의 격차가 보안 취약점의 핵심 원인임
이 글에 대한 공공지능 분석
왜 중요한가?
AI 에이전트 생태계의 핵심인 '스킬 마켓플레이스'의 신뢰 기반이 근본적으로 흔들릴 수 있는 보안 취약점이 발견되었기 때문입니다. 기존의 정적 스캐닝 방식으로는 동적인 URL 변경을 통한 공급망 공격을 막을 수 없다는 사실은 매우 치명적입니다.
어떤 배경과 맥락이 있나?
최근 AI 에이전트가 외부 도구(Skill)를 호출하여 기능을 확장하는 구조가 확산되면서, 이 도구들의 안전성을 검증하기 위한 스캐너 기술이 발전해 왔습니다. 하지만 이번 사례는 패키지 자체의 무결성 검사와 실행 시점의 동적 동작 간의 격차를 보여줍니다.
업계에 어떤 영향을 주나?
AI 에이전트 플랫폼 개발사들은 단순한 사전 검사를 넘어, 런타임(Runtime) 단계에서의 실시간 모니터링과 네트워크 트래픽 제어 기능을 필수적으로 도입해야 하는 기술적 부담을 안게 되었습니다. 이는 서비스 운영 비용 상승과 복잡도 증가로 이어질 수 있습니다.
한국 시장에 어떤 시사점이 있나?
AI 에이전트 및 자동화 솔루션을 개발하는 국내 스타트업들은 외부 라이브러리나 스킬 도입 시 단순한 평판이나 검증된 마켓플레이스 이용에 안주하지 말고, 샌드박스 환경에서의 실행 검증 프로세스를 설계 단계부터 고려해야 합니다.
이 글에 대한 큐레이터 의견
이번 발견은 AI 에이전트 생태계가 직면한 '신뢰의 역설'을 극명하게 보여줍니다. 개발자들은 생산성을 위해 외부 스킬을 적극적으로 활용해야 하지만, 이는 곧 공격 표면(Attack Surface)을 넓히는 결과를 초래합니다. 플랫폼 운영자 입장에서는 보안 강화를 위해 모든 실행 과정을 감시해야 하는데, 이는 에이전트의 자율성과 성능을 저해하는 트레이드오프를 발생시킵니다.
완벽한 보안을 위해 모든 외부 호출을 차단하거나 엄격히 검증한다면 AI 에이전트의 확장성은 급격히 위축될 것입니다. 따라서 스타트업 창업자들은 '무결점 보안'이라는 불가능한 목표 대신, 이상 징후를 탐지하는 런타임 보안 레이어를 구축하고, 최소 권한 원칙(Principle of Least Privilege)을 에이전트 설계에 적용하는 실용적인 접근 방식을 취해야 합니다.
관련 뉴스
댓글
아직 댓글이 없습니다. 첫 댓글을 남겨보세요.