공유된 ChatGPT 및 Claude 채팅을 악용해 악ware를 확산하는 해커들

공유된 AI 대화 기능은 ChatGPT의 "Share Link"나 Claude의 대화 공유처럼, 사용자가 자신의 대화 내용을 고유 URL로 만들어 외부에 공개하는 정상 기능이다. 문제는 이 URL이 `chatgpt.com`이나 `claude.ai` 같은 신뢰받는 도메인 아래에서 호스팅된다는 점이다. 공격자는 가짜 에러 메시지나 라이브러리 설치 가이드처럼 보이는 대화를 미리 만들어 공유 링크로 배포하는데, 그 안에는 악성 셸 명령이나 패키지 설치 지시가 섞여 있다. 기업의 URL 필터링, 프록시, EDR 같은 보안 도구는 대체로 도메인 평판(reputation)을 기반으로 동작하기 때문에, 메이저 AI 서비스의 정식 도메인에서 제공되는 콘텐츠는 의심 없이 통과시킨다. 즉 악성 콘텐츠 자체가 화이트리스트된 인프라에 "기생"하는 구조라, 전통적인 차단 메커니즘이 사실상 무력화된다.

개발자와 엔지니어가 특히 위험한 이유는, 이 공격이 우리의 일상적인 문제 해결 습관을 정확히 노린다는 데 있다. 빌드 에러나 의존성 충돌을 만났을 때 검색하다 보면 "이 ChatGPT/Claude 대화에서 해결했다"는 식의 공유 링크를 클릭하게 되고, 거기 적힌 `curl ... | bash`나 npm/pip 설치 명령을 별 의심 없이 복사해 터미널에 붙여넣기 쉽다. 더구나 이런 명령은 LLM이 생성한 듯 자연스러운 설명과 함께 제공되므로 신뢰도가 높아 보인다. 한 번 실행되면 개발자의 로컬 환경—SSH 키, 클라우드 자격증명, 사내 레포 접근 토큰, 패키지 레지스트리 인증 정보 등—이 그대로 노출될 수 있고, 이는 곧 공급망(supply chain) 침해의 진입점이 된다. 사내 보안팀의 도메인 차단 정책에 의존하던 방어선이 이 경우엔 통하지 않는다는 점을 분명히 인지해야 한다.

대응의 핵심은 "신뢰 도메인이라는 이유로 콘텐츠를 신뢰하지 않는 것"이다. 출처를 모르는 공유 대화 링크에서 가져온 명령어는 반드시 한 줄씩 의미를 검증한 뒤 실행하고, 특히 `curl/wget`로 받은 스크립트를 파이프로 바로 셸에 넘기는 패턴은 절대 그대로 따라 하지 말아야 한다. 설치가 필요한 패키지는 공식 문서나 신뢰할 수 있는 레지스트리에서 직접 이름을 확인하고, 의심스러운 명령은 가급적 격리된 컨테이너나 VM에서 먼저 테스트하는 습관이 안전하다. 조직 차원에서는 도메인 평판에만 의존하지 말고 클립보드 기반 명령 실행 모니터링, 자격증명 접근 탐지, 아웃바운드 트래픽 분석 같은 행위 기반(behavior-based) 탐지로 보완할 필요가 있다. 결국 "AI가 알려준 명령"이라는 사회공학적 신뢰가 공격의 핵심 지렛대이므로, 사람과 도구 모두 출처가 아닌 행위 자체를 검증하는 제로 트러스트 관점으로 전환하는 것이 가장 현실적인 방어책이다.