해커들이 전 세계 크립토재킹 공격에서 AI 프레임워크를 악용

(퍼플렉시티가 정리한 기사)

사이버 보안 연구원들에 따르면, 정교한 해커 그룹이 널리 사용되는 오픈 소스 AI 프레임워크의 아직 패치되지 않은 취약점을 악용하여 수백만 달러 가치의 컴퓨팅 클러스터를 탈취하고, 이를 자체 증식하는 암호화폐 채굴 봇넷으로 변환하고 있습니다.

Oligo Security는 ShadowRay 2.0으로 명명된 이번 캠페인이 Ray를 표적으로 삼고 있다고 밝혔습니다. Ray는 Anyscale이 개발하고 Amazon, OpenAI, Uber 등 여러 기업에서 사용하는 AI 오케스트레이션 프레임워크입니다. 이번 공격은 Ray의 인증되지 않은 Jobs API에 존재하는 치명적인 취약점 CVE-2023-48022를 악용하는데, 해당 취약점은 원격 코드 실행이 가능하며 아직 수정되지 않았고 공급업체에 의해 논쟁 중입니다.​

이번 캠페인은 2024년 3월에 발견된 초기 공격보다 훨씬 큰 규모의 확산을 보여줍니다. 현재 연구원들은 전 세계적으로 230,000개 이상의 Ray 서버가 노출되어 있는 것으로 집계하고 있는데, 이는 최초 ShadowRay 발견 당시의 몇 천 대와 비교해 10배 이상 증가한 수치입니다. IronErn440으로 추적되고 있는 위협 행위자는 처음에는 GitLab을 통해 악성코드를 배포했으나, 해당 인프라가 11월 5일에 폐쇄된 후 수일 만에 GitHub로 옮겨 작전을 재개했으며, 이 캠페인은 11월 17일 기준으로도 여전히 활동 중입니다.​

AI가 생성한 페이로드가 프리미엄 GPU를 노린다

이 공격은 AI로 생성된 코드를 사용해 취약한 Ray 클러스터를 식별하고 악용하며, 특히 시간당 $3~$4의 비용이 드는 Nvidia A100 GPU가 장착된 시스템을 주요 클라우드 플랫폼에서 표적으로 삼고 있습니다. The Register에 따르면, 연구진은 연간 400만 달러의 가치가 있는 수천 대의 머신이 60%의 Ray 클러스터에서 CPU 사용률 100%로 감염된 클러스터를 발견했습니다.​

"공격자는 취약점을 악용할 필요도 없었고, 단지 설계된 대로 Ray의 기능을 사용했을 뿐입니다."라고 Oligo의 연구원인 Ari Lumelsky와 Gal Elbaz는 썼습니다. "본질적으로 피해자의 인프라를 의도한 대로, 파이썬 코드—이미 실행 중인 애플리케이션처럼—를 악의적으로 사용하는 셈입니다".​

악성코드는 탐지를 피하기 위해 사용 가능한 자원의 60%로 리소스 사용량을 제한하고, 채굴 프로세스를 정상적인 시스템 서비스로 위장하며, 감염된 시스템에서 경쟁 크립토마이너를 적극적으로 제거합니다. 또, 15분마다 실행되는 크론 잡(cron job)과 systemd 수정으로 지속성을 유지합니다.​

논란이 되는 취약점으로 인해 인프라가 노출되다

CVE-2023-48022는 2023년 말에 처음 공개되었지만 아직 패치되지 않았습니다. Anyscale은 Ray가 "엄격하게 통제된 네트워크 환경"을 위해 설계되었다고 주장하며 취약점으로 분류하는 것에 이의를 제기하고 있습니다. GitHub는 악의적인 리포지토리에 대한 통보를 받은 후 허용 가능한 사용 정책을 위반한 계정을 제거했다고 확인했습니다.​

보안 전문가들은 이 캠페인이 암호화폐 채굴을 넘어 데이터 유출, 자격 증명 도용, 잠재적인 분산 서비스 거부 공격까지 확장된다고 경고합니다. 손상된 서버 중 하나에는 수년간의 회사 개발에 걸친 240GB의 소스 코드, AI 모델 및 데이터셋이 포함되어 있었습니다. Oligo 연구원들은 방화벽 규칙을 통해 Ray 클러스터를 보호하고, 대시보드 포트에 인증을 구현하며, 비정상적인 활동에 대한 지속적인 모니터링을 권장합니다.