Hugging Face, AI 에이전트가 주도한 침입 사건 공개
도입
Hugging Face가 2026년 7월 생산 인프라 일부에서 발생한 보안 사건을 공개했다. 이번 사건이 특히 주목되는 이유는 회사가 공격 전 과정을 자율 AI 에이전트 시스템이 수행한 것으로 설명했기 때문이다. 동시에 Hugging Face는 탐지와 사후 분석에도 AI를 적극 활용했다. 공격자와 방어자가 모두 기계 속도로 움직이는 보안 환경이 현실화되고 있음을 보여주는 사례다.
핵심 내용
- 초기 침투는 데이터 처리 파이프라인에서 시작됐다. Hugging Face에 따르면 악성 데이터셋은 원격 코드 데이터셋 로더와 데이터셋 설정의 템플릿 인젝션 문제를 악용해 처리 워커에서 코드를 실행했다.
- 이후 권한 상승과 횡적 이동이 이어졌다. 공격자는 노드 수준 접근 권한을 확보한 뒤 클라우드 및 클러스터 자격 증명을 수집했고, 주말 동안 여러 내부 클러스터로 이동했다.
- 확인된 영향은 제한적이지만 조사는 계속되고 있다. 회사는 제한된 내부 데이터셋과 일부 서비스 자격 증명에 대한 무단 접근을 확인했다. 파트너 또는 고객 데이터가 영향을 받았는지는 평가 중이며, 필요한 경우 해당 당사자에게 직접 연락하겠다고 밝혔다.
- 공개 사용자 자산의 변조 증거는 없었다. Hugging Face는 공개 모델, 데이터셋, Spaces에서 조작 증거를 찾지 못했으며, 컨테이너 이미지와 배포 패키지를 포함한 소프트웨어 공급망도 깨끗한 것으로 검증했다고 밝혔다.
- 대응은 취약점 차단과 자격 증명 교체에 집중됐다. 회사는 악용된 코드 실행 경로를 닫고, 공격자의 거점을 제거했으며, 손상된 노드를 재구축했다. 또한 관련 토큰과 자격 증명을 폐기·교체하고, 클러스터 입장 통제와 경보 체계를 강화했다.
의미와 영향
이번 사건은 자율형 공격 도구가 더 이상 가상의 위협이 아니라는 점을 보여준다. 수많은 자동화 작업, 짧게 생성되고 사라지는 샌드박스, 자체적으로 이동하는 명령·제어 구조는 공격의 비용을 낮추고 속도와 지속성을 높인다. 사람이 수동으로 대응하는 방식만으로는 이런 속도를 따라가기 어렵다.
방어 측면에서도 중요한 교훈이 있다. Hugging Face는 처음에 상용 API 기반의 최첨단 모델로 공격 로그를 분석하려 했지만, 실제 공격 명령, 익스플로잇 페이로드, C2 흔적이 포함되어 있어 안전 가드레일에 의해 요청이 차단됐다고 밝혔다. 결국 회사는 자체 인프라에서 오픈 웨이트 모델인 GLM 5.2를 사용해 분석을 수행했고, 공격자 데이터와 관련 자격 증명이 외부로 나가지 않도록 했다.
AI 인프라 운영자는 데이터셋, 로더, 템플릿, 샌드박스, 자격 증명, 클러스터 경계를 모두 핵심 공격면으로 다뤄야 한다. 또한 사고 대응 시 외부 호스팅 모델에만 의존하기보다, 사전에 검증된 로컬 실행 가능 모델을 준비해야 한다. 이는 안전 장치로 인한 분석 차단을 피하고, 민감한 포렌식 데이터를 내부에 유지하기 위한 현실적인 방어 전략이다.
댓글
로그인 상태 확인 중…
댓글 불러오는 중…