/AI Chasm Catalyst
로컬 LLM을 하드코딩된 프롬프트로 조종해 악성 Lua 스크립트를 실시간 생성·실행하는 신종 랜섬웨어 ‘PromptLock’이 발견됐다. 본체는 Go로 작성됐고 gpt-oss:20b를 Ollama API로 호출해 파일 선별·유출·암호화 기능을 수행한다. 보안업계는 AI가 공격 실행 단계로 진입했다는 신호로 해석하면서도 현재는 개념증명 단계로 위협도 평가가 갈린다고 전했다.
◆ 하드코딩된 프롬프트로 LLM을 ‘행위자’로
분석에 따르면 PromptLock은 코드 내부에 고정된 프롬프트를 담아 LLM에게 작업 지시를 내린다. 감염 후 모델이 자체적으로 대상 파일을 열람·필터링하고, 필요시 유출 또는 암호화를 수행하도록 Lua 스크립트를 즉석 생성한다. 동일 시나리오라도 매 실행마다 스크립트가 달라지는 비결정성이 탐지 지표 변동성을 키운다는 점이 특징으로 꼽힌다.
◆ 플랫폼은 넓고, 본체 변종은 이미 다수
Lua 스크립트는 Windows·Linux·macOS 호환으로 작성돼 환경 종속성을 낮췄다. 반면 분석 시점에 확보된 바이너리는 Windows·Linux 변종이 확인됐다. 본체는 Go로 컴파일돼 단일 실행 파일 형태로 배포가 용이하며, LLM 호출 이후 스크립트 실행과 파일 처리 흐름이 일련의 과정으로 이어지는 것이 전형적인 행위 패턴으로 드러났다.
◆ 암호화는 SPECK-128… 파괴 루틴은 비활성
파일 암호화 모듈에는 경량 블록암호 SPECK-128이 사용됐다. 고성능·대칭키 구현이 쉬운 장점이 있으나 강력한 범용 랜섬웨어들이 채택해온 알고리즘과는 결이 다르다는 평가도 있다. 데이터 파괴 기능은 코드에 포함돼 있으나 기본 비활성 상태로, 기능 플래그 전환 여부에 따라 위협도는 달라질 수 있다.
◆ ‘로컬 LLM’이라는 역량 요건
PromptLock이 실전화하려면 공격자가 피해 환경에서 로컬 또는 내부망으로 접근 가능한 LLM에 연결해야 한다. Ollama가 기본 포트에서 REST API를 제공하는 특성상 내부 프록시·터널을 경유하는 구성도 가능하다. 이 전제는 위협 실현 가능성을 제약하면서도, 개발·R&D 구역처럼 LLM이 상시 구동되는 구간에서는 현실적 위험으로 받아들여지고 있다.
◆ 비트코인 주소 논란과 PoC 성격
프롬프트에 포함된 비트코인 주소가 ‘사토시 나카모토’와 연계된 알려진 주소로 확인됐다는 보도도 나왔다. 실제 수취 의도보다는 개념증명 성격을 시사하는 요소로 해석되며, 현재로선 완전한 파괴·확산 기능이 구현되지 않은 미완성 단계라는 평가가 우세하다.
◆ 전문가 진단과 학계 시각
보안 연구진은 “새로운 기법이지만 당장 대규모 공격 파급으로 보기는 이르다”면서도 로컬·프라이빗 LLM이 공격 체인에 본격 편입되는 흐름을 경계해야 한다고 조언했다. 학계 역시 최근 발표된 ‘LLM 오케스트레이션형 랜섬웨어’ 연구에서 자기 구성(Self-composing)과 모델 지시를 결합한 3세대 위협 가능성을 제시하며, 모델 거버넌스와 행위 기반 통제가 병행돼야 한다는 점을 강조했다.
◆ 방어자 체크리스트와 현실적 대응
첫째, 사내 로컬·내부 LLM 서비스의 노출 범위를 자산 관리로 가시화하고 기본 포트·엔드포인트 노출을 차단한다. 내부망 노출이 불가피할 때는 분리된 VLAN과 역프록시, 인증을 강제하고, 익명 터널·프록시 흔적을 네트워크 행위 기반으로 탐지한다.
둘째, 개발·R&D 구역 외부에서 LLM 서비스로 향하는 트래픽은 세분화된 ACL과 egress 허용목록으로 최소화한다. 내부 IP 대역의 11434 포트 접근을 원천 차단하고 예외는 승인제로 관리한다.
셋째, 행위 상관 규칙을 마련한다. 대량 파일 열람 및 해시·내용 검사 이후 로컬·내부 LLM API 호출, 이어지는 Lua 해석기 실행과 파일 유출·암호화 발생이라는 단계적 TTP를 연결해 EDR·SIEM에서 탐지한다. 스크립트 산출물이 매회 달라지는 만큼 해시 기반보다 행위 서명을 우선한다.
넷째, 사내 LLM·에이전트에 시스템 프롬프트 가드레일, 툴 사용 제한, 강제 감사 로깅을 적용한다. 프롬프트 주입이 본질인 만큼 권한 있는 툴 호출을 LLM 단독 지시로 허용하지 않도록 워크플로를 재설계한다.
다섯째, 최신 IoC와 탐지명을 통합하고 유사 행위 룰을 주기적으로 재학습한다. PoC 단계에서도 시그널이 축적되는 만큼 위협 인텔 동기화를 자동화해 허위 양성·음성 균형을 지속 조정한다.
◆ 무엇이 달라지나
PromptLock은 AI가 ‘코드 작성 지원자’가 아니라 ‘공격 실행자’로 이동할 수 있음을 보여준다. 로컬 모델과 자동화된 스크립팅이 결합되면, 방어자는 시그니처보다 절차와 정책, 네트워크 경계와 모델 거버넌스라는 다층 통제로 무게중심을 옮겨야 한다. 개발 환경과 연구 구역처럼 LLM 활용이 활발한 조직일수록 자산 가시화와 최소권한 원칙을 재점검할 시점이다.