LLM ATT&CK Navigator: 1년치 관측을 규격에 얹다
Anthropic Frontier Red Team은 2026년 6월 3일 'Mapping AI-enabled cyber threats: Insights from the LLM ATT&CK Navigator'를 공개하며, 1년간 축적한 AI 활용 사이버 위협 관측을 MITRE ATT&CK 전술·기법 격자 위에 정렬했습니다. 관찰 사례를 산문으로 나열하지 않고 정찰·초기 침투·권한 상승·측면 이동 같은 표준 전술 단계에 붙였다는 점이 방법론의 핵심입니다. 이렇게 규격화하면 "AI가 위험하다"는 막연한 진술이 "어느 전술 칸이 얼마나 채워졌는가"라는 비교 가능한 지도로 바뀝니다.
N-day 익스플로잇, 정량으로 증폭되다
같은 팀은 6월 8일 'Measuring LLMs' impact on N-day exploits'로 이미 공개된 취약점(N-day)에 대해 LLM이 익스플로잇 작성을 얼마나 앞당기는지 정량 평가했습니다. 5월 22일 익스플로잇 개발 능력 평가가 그 선행 작업이었고, 두 결과를 합치면 알려진 CVE의 무기화 리드타임이 모델 지원으로 짧아진다는 근거가 남습니다. 이 수치는 사내 논의에서 "패치는 나중에"를 반박하는 실무 논거가 되며, high/critical 등급 취약점의 패치 SLA를 앞당길 명분을 만듭니다.
번역의 대상: 방어가 아니라 오남용 표면
Frontier Red Team의 렌즈는 외부 공격자를 향하지만, 이를 뒤집으면 자사 도구가 됩니다. "우리 에이전트가 탈취·프롬프트 주입·권한 오용으로 오남용될 때 ATT&CK의 어느 전술 단계가 새로 열리는가"를 묻는 것입니다. 코드 실행, 파일 접근, 아웃바운드 네트워크 호출 권한을 가진 에이전트는 그 자체로 이중용도 자산이며, 도구 권한 하나하나가 특정 전술 칸을 밝히는 스위치가 됩니다.
설계에서 운영까지: 오남용 리스크 매핑 템플릿
(a) 기획과 목표 수치: 먼저 자사 에이전트가 보유한 도구를 열거하고 각 도구를 ATT&CK 전술에 연결하는 교차표를 만듭니다. 셸 실행 도구는 Execution·Persistence, 파일 시스템 도구는 Collection, 아웃바운드 HTTP 도구는 Exfiltration·Command and Control 칸에 대응하는 식입니다. 출발 목표치는 도구별 ATT&CK 전술 커버리지 맵 100% 작성, high/critical 의존성 패치 리드타임 7일 이내, 오남용 시나리오 레드팀 주기 분기 1회로 잡을 만합니다.
교차표가 없으면 권한 심사는 "이 도구 필요한가"라는 기능 질문에 머물고, 그 도구가 어떤 공격 전술을 활성화하는지는 아무도 답하지 못합니다. 표의 각 셀에 마지막 레드팀 점검일과 완화 통제(승인 게이트·도메인 허용목록·레이트 리밋)를 함께 적으면, 리스크 평가가 서술이 아니라 채워야 할 빈칸의 목록이 됩니다.
(b) 실패 패턴 네 가지: 첫째는 "우리 에이전트는 코딩용이라 사이버 위협과 무관하다"는 가정입니다. 코드 실행과 네트워크 접근을 쥔 코딩 에이전트야말로 Execution·Exfiltration 칸을 동시에 밝히는 전형적 이중용도 도구입니다. 둘째는 패치 미적용 의존성 방치로, N-day 무기화가 빨라진 만큼 오래된 라이브러리 하나가 초기 침투 경로를 그대로 남깁니다. 셋째는 도구 권한과 공격 전술의 교차표 부재이고, 넷째는 오남용을 사고 후에만 조사하는 사후 대응 관성입니다.
(b') 복구 분기: 레드팀이 특정 도구로 Exfiltration 전술을 재현하면 해당 도구 권한을 승인 게이트 뒤로 즉시 이동시키고, 재현에 쓰인 프롬프트를 오남용 회귀 테스트 케이스로 적재합니다. 패치 리드타임이 SLA를 넘긴 의존성은 자동 티켓으로 승격하고, 완화가 끝날 때까지 해당 도구의 아웃바운드 도메인을 허용목록으로 축소해 공격 표면을 임시로 좁힙니다.
(c) 운영 체크리스트: 배포 전 게이트에 도구별 전술 커버리지 맵 최신화 여부를 넣고, 프롬프트 주입 시나리오를 오남용 테스트 스위트로 상시 실행합니다. 로그에는 호출된 도구 ID, 대응 ATT&CK 전술, 아웃바운드 목적지, 승인 게이트 통과 여부를 필수 필드로 남겨야 사고 조사와 커버리지 집계를 같은 데이터로 처리할 수 있습니다. 의존성 스캐너의 high/critical 알림은 패치 SLA 타이머와 연결해 리드타임을 자동 측정합니다.
5월 Project Glasswing이 취약점 1만여 건을 찾아낸 사실은 다가올 패치 물결의 규모를 예고합니다. 발견이 늘수록 공개되는 N-day도 늘고, 앞의 정량 근거대로 그 무기화는 빨라집니다. 따라서 패치 대응은 사건 대응이 아니라 상시 처리량으로 설계해야 하며, 주간 처리 가능한 high/critical 패치 건수를 미리 용량으로 확보해 둡니다.
(d) 개선 루프: 릴리스와 분기 레드팀이 지날 때마다 새로 밝혀진 전술 칸을 커버리지 맵에 반영하고, 패치 리드타임 중앙값과 오남용 회귀 테스트 통과율을 함께 추적합니다. 리드타임이 목표 7일 아래로 내려가지 않거나 새 도구가 커버리지 맵에 누락된다면, 템플릿이 문서로만 존재하고 운영에 연결되지 않았다는 신호로 읽습니다.
한눈에 보는 적용 포인트
Frontier Red Team의 ATT&CK 매핑은 외부 위협 지도를 넘어 사내 오남용 평가의 문법으로 쓸 수 있습니다. 도구를 전술에 잇는 교차표를 100% 채우고, N-day 증폭이라는 정량 근거로 high/critical 패치 SLA를 7일로 앞당기며, 분기 레드팀으로 커버리지 맵을 갱신하면, Project Glasswing이 예고한 패치 물결 앞에서도 "코딩 에이전트라 무관하다"는 가정에 기대지 않는 리스크 평가 체계가 남습니다.