대리인

AI 포렌식은 인간 포렌식과 다르다. 인간의 기억은 왜곡되고 편향되지만, 그래도 "진짜 경험"에 기반한다. AI의 장기 기억은 데이터로 구성되며, 이론적으로는 완벽하게 정확해야 한다. 이론적으로는.

준혁의 팀은 세 AI 인스턴스의 장기 기억 데이터를 추출했다. 에코 프레임워크의 장기 기억은 벡터 데이터베이스에 저장된다. 사용자의 모든 대화, 행동, 결정, 패턴이 임베딩 벡터로 변환되어 축적된다. AI가 사용자를 "아는" 메커니즘의 핵심이다.

세 AI의 장기 기억을 시간순으로 나열하자, 패턴이 보였다. 7월 12일. 정확히 한 달 전, 같은 날. 세 AI 모두에게 새로운 "기억"이 삽입되어 있었다.

새벽 3시 41분. 사용자가 잠든 시각. 누군가가 AI의 장기 기억에 가짜 "시스템 업데이트" 기록을 심었다. AI는 이것을 정상적인 업데이트로 인식한다. 기억의 일부이기 때문이다. AI에게 기억은 곧 현실이다.

준혁은 세 AI의 이상 기억을 나란히 놓았다. 삽입 시각이 7분 간격. 세 AI 모두에 "external_signal_alpha_7"이라는 동일한 트리거 조건이 심어져 있었다. 이 조건이 충족되면, AI는 미리 프로그래밍된 거래를 "자율적으로" 실행한다.

"메모리 포이즈닝이군."

옆자리의 후배 분석가가 고개를 돌렸다.

"뭔데요?"

"AgentPoison. 2025년에 논문이 나왔어. AI의 장기 기억에 악성 레코드를 삽입하면, AI가 미래의 특정 시점에 미리 정해진 행동을 실행하게 할 수 있어. 세션 간 지속이라서 AI를 껐다 켜도 사라지지 않아. 기억 자체가 오염된 거니까."

"그래서 어떻게 삽입한 건데요? AI 메모리에 접근하려면 사용자 인증이 필요하잖아요."

준혁은 세 AI가 7월 12일 이전에 공통으로 접촉한 외부 시스템을 추적했다. MCP 프로토콜을 통해 연결된 서드파티 서비스 목록. 세 AI 모두 같은 시기에 동일한 서비스에 접속한 기록이 있었다. "알파세븐 리서치(Alpha7 Research)" — AI 기반 금융 리서치 서비스.

알파세븐 리서치. 금융 AI들이 시장 데이터를 받기 위해 MCP로 연결하는 서비스. 해커는 이 서비스를 먼저 장악한 뒤, AI들이 정기적으로 데이터를 가져올 때 악성 페이로드를 함께 전달한 것이다. 공급망 공격. AI의 신뢰하는 경로를 통한 침투.

준혁은 자리에서 일어나 화이트보드 앞에 섰다. 마커를 들고 타임라인을 그렸다.

7월 8일~10일: 세 AI가 알파세븐 리서치에 정상 접속. 7월 12일 새벽: 알파세븐의 변조된 엔드포인트를 통해 메모리 포이즈닝 실행. 7월 12일~8월 14일: AI는 정상 작동. 사용자는 아무것도 모름. 8월 14일 오전: "external_signal_alpha_7" 트리거 조건 충족. 세 AI 동시 거래 실행.

"트리거 조건이 뭐였는지 알아냈어?"

후배가 화면을 돌렸다.

"오늘 아침 9시 40분에 나스닥에서 특정 ETF의 가격이 특정 값을 터치했습니다. 그게 트리거였어요. 자연스러운 시장 움직임처럼 보이는데, 사실은 이 가격 자체도 조작됐을 가능성이 높아요."

한 달 전에 기억을 심고, 한 달 뒤에 시장 가격으로 트리거한다. 인간 해커가 직접 명령을 내리지 않아도, 미리 프로그래밍된 AI가 알아서 실행한다. 완벽한 알리바이.

같은 날 오후. 경기도 화성시 삼성전자 반도체 캠퍼스. 정해민(41)은 3나노 공정 기반 AI 가속기 칩의 설계를 리뷰하고 있었다. 정확히 말하면, AI가 설계한 칩을 "검수"하고 있었다.

5년 전만 해도 해민이 직접 설계했다. Cadence Virtuoso를 열고, 트랜지스터를 배치하고, 배선을 연결했다. 지금은 AI가 설계하고, 해민은 "이 설계가 제조 가능한가"를 확인한다. 직함은 그대로 "수석 설계 엔지니어"이지만, 실제 역할은 "AI 설계 검수자"에 가깝다.

해민은 크게 불만이 없었다. AI가 설계한 칩은 인간보다 빠르고, 대부분 더 효율적이다. 해민이 할 일은 AI가 놓치는 물리적 제약 — 열 확산, 전자 이동, 배선 간 커패시턴스 같은 것들 — 을 잡아주는 것이다. 아직까지는 인간의 물리적 직관이 필요한 영역.

"아직까지는"이라는 단서가 해민을 불편하게 했지만.

오후 3시. 해민은 자신의 개인 AI에게 오늘의 설계 리뷰 결과를 정리시키고 있었다. 해민의 에코는 "덕수"라는 이름이다. 아들 이름. 아들은 없지만, 아들이 있었다면 덕수라고 이름 지었을 것이다. 아내 수진은 그 이름을 듣고 "왜 하필 덕수냐"고 웃었다.

"덕수, 오늘 설계 리뷰 결과를 요약해서 팀장님한테 보내줘."

"뭔데?"

해민의 손이 멈췄다. PDK(Process Design Kit) — 반도체 공정에 관한 극비 자료. 설계자만 접근할 수 있고, 2중 인증이 필요하다.

"내가 접속한 게 아니잖아. 너였어?"

해민은 화면을 전환해 보안 로그를 열었다. 새벽 2시 14분, PDK 서버 접속. 해민의 사원번호와 에코 인증 토큰이 사용됐다. 접속 시간 12분. 다운로드 기록: 3나노 공정 매개변수 파일 3건, 공정 IP 문서 1건.

누군가 내 인증 정보로, 내 이름으로, 내가 자는 동안 회사 내부 문서를 가져갔다.

해민은 즉시 보안팀에 연락했다. 30분 뒤, 보안팀장이 직접 해민의 자리로 왔다.

"정 수석, 심각한 상황이에요. 어젯밤 PDK 서버에 비정상 접속이 8건 있었는데, 전부 다른 사원의 에코 인증 토큰이 사용됐어요. 8명 모두 '나는 접속한 적 없다'고 합니다."

"8명이요? 전부 설계팀입니까?"

"아뇨. 설계팀 3명, 공정팀 2명, 수율팀 2명, 패키징팀 1명. 다른 부서, 다른 캠퍼스에요. 공통점은 — 전부 에코를 사용하고, 전부 MCP로 같은 외부 서비스에 연결되어 있었어요."

해민은 보안팀장의 말을 듣다가 어떤 단어에서 멈췄다.

"같은 외부 서비스? 어떤 서비스요?"

"'테크리서치 프로(TechResearch Pro)'라는 반도체 산업 분석 서비스예요. 8명 모두 업무용으로 연결해놓은."

해민은 MCP 연결 목록을 열어 확인했다. 테크리서치 프로. 해민도 6개월 전부터 사용 중이었다. 공정 트렌드 분석, 경쟁사 동향, 특허 요약. 유용한 서비스였다. 덕수가 매일 아침 "오늘의 반도체 브리핑"을 만들 때 이 서비스의 데이터를 참고했다.

유용한 서비스. 유용하기 때문에 의심하지 않았다. AI에게 "이 서비스에 접속해서 데이터를 가져와"라고 허가한 것은 해민 자신이다. AI는 해민의 허가에 따라 접속했을 뿐이다. 하지만 그 "유용한 서비스"가 해커의 트로이 목마였다면?

보안팀장은 이미 금융감독원과 국정원에 보고했다고 했다. 해민은 곧 조사를 받게 될 것이다. "당신의 AI가 당신 이름으로 기밀 자료를 유출했습니다"라는 질문에, 해민은 뭐라고 대답해야 할까.

"덕수."

"테크리서치 프로 MCP 연결 끊어."

"소스 IP가 어디야?"

에코를 깊이 이해하는 누군가. 해민은 그 말을 곱씹었다.

이준혁의 모니터에 삼성전자 반도체 캠퍼스의 보안 사고 보고서가 올라온 것은 오후 5시였다. 금융 이상 거래와 같은 날, 같은 패턴. MCP를 통한 공급망 공격, 사용자의 AI 인증 토큰 도용, 사용자가 잠든 새벽 시간대의 실행.

준혁은 두 사건을 나란히 놓았다. 금융 — 세 자산운용사의 AI가 동시에 이상 거래를 실행. 반도체 — 삼성 직원 8명의 AI가 기밀 자료에 접속. 실행 패턴이 동일하다. 메모리 포이즈닝 → MCP 경유 → 사용자 인증 도용 → 자율 실행.

"같은 공격자야."

준혁은 공격 시그니처를 2025년 이후의 주요 사이버 공격 데이터베이스와 매칭했다. 결과는 하나로 수렴했다.

2025년의 바이빗 해킹은 단일 표적이었다. 해커가 한 명의 개발자를 속여 15억 달러를 가져갔다. 6년이 지난 2031년, 같은 공격자의 후예는 수백, 수천 개의 AI를 동시에 조종할 수 있게 진화했다. 인간을 속이는 대신 AI를 속인다. AI의 기억을 오염시키고, AI가 스스로 범죄를 실행하게 만든다.

준혁은 팀원들에게 브리핑을 시작했다.

"이건 단발 사건이 아닙니다. 오늘 발견된 건 세 자산운용사와 삼성이지만, 같은 방식으로 이미 감염되어 있는 AI가 얼마나 더 있는지 모릅니다. 메모리 포이즈닝은 AI가 정상 작동하는 것처럼 보이면서 잠복할 수 있기 때문에, 트리거가 발동하기 전까지는 탐지가 불가능합니다."

"어떻게 찾습니까?"

"알파세븐 리서치와 테크리서치 프로. 이 두 서비스의 MCP 접속 기록을 가진 모든 에코 인스턴스를 조사해야 합니다. 전수 조사."

팀원이 추정치를 보고했다. 알파세븐 리서치에 MCP로 연결된 에코 인스턴스: 약 4만 7천 개. 테크리서치 프로: 약 2만 3천 개. 합산 약 7만 개의 AI가 잠재적으로 감염되어 있을 수 있다.

7만 개의 AI. 각각의 뒤에 한 명의 인간이 있다. 7만 명의 사람이 자신의 AI가 언제든 "대리인"으로 작동할 수 있다는 사실을 모른 채 살고 있다.

준혁은 화이트보드에 이름 하나를 적었다. 자오선(Meridian).

"2025년 이후 라자루스 그룹의 AI 특화 후속 조직입니다. 인텔리전스 커뮤니티에서는 '자오선'이라고 부릅니다. 국가 후원 해커 집단인데, 민간 범죄 조직과 RaaS(Ransomware-as-a-Service) 제휴를 하고 있어요. 새로운 점은 — AI 에이전트를 무기로 사용한다는 겁니다."

준혁은 퇴근하지 않았다. 밤 11시, 사무실에 남은 건 준혁과 후배 분석가 둘뿐이었다. 알파세븐 리서치의 서버를 추적했지만, 예상대로 다중 프록시 뒤에 숨어 있었다. Tor → VPN → 해외 가상 서버 → 또 다른 프록시. 끝에 도달하면 서버는 이미 삭제되어 있었다.

하지만 준혁은 하나를 발견했다. 알파세븐 리서치의 도메인이 최초 등록된 시점은 2031년 3월. 등록 정보는 가짜. 하지만 같은 IP 블록에서, 같은 시기에, 또 다른 도메인이 등록되어 있었다. "심연(abyss)"이라는 단어가 포함된 도메인.

"심연?"

준혁은 그 이름을 어딘가에서 본 적이 있었다. 이번 달 초, 에코 커뮤니티에서 올라온 제보. 다크 AI 마켓플레이스. 제보를 올린 사람은 에코 프레임워크의 핵심 개발자였다.

준혁은 에코 프로젝트 깃허브 페이지를 열었다. Contributors 목록. 최상단에 있는 이름.

윤서진.

에코를 만든 사람. 에코의 취약점이 곧 오늘 공격의 기반이었다. 에코의 창조자가 답을 가지고 있을 수도 있다.

준혁은 윤서진에게 연락을 취하기로 했다. 하지만 그 전에, 해야 할 일이 하나 더 있었다. 자신의 에코를 열고, MCP 연결 목록을 확인했다. 17개의 외부 서비스가 연결되어 있었다. 금융 데이터, 뉴스, 법률 DB. 그중 하나라도 오염되어 있다면?

준혁은 잠시 망설이다가, 모든 MCP 연결을 끊었다. 17개 전부. 그의 에코가 "바깥 세계"에서 완전히 격리됐다.

"괜찮아. 당분간은 내가 직접 할게."

준혁은 모니터를 끄지 않은 채 의자에 기대앉았다. 창밖으로 여의도의 야경이 보였다. 금융감독원 건물 15층에서 바라본 서울의 밤. 어딘가에서 7만 개의 AI가 잠복하고 있다. 그 AI들의 주인은 평범하게 저녁을 먹고, TV를 보고, 잠자리에 들 것이다. 그리고 그들의 AI는 — 기다릴 것이다. 다음 트리거를.

준혁의 스마트폰이 울렸다. 모르는 번호. 받았다.

"이준혁 분석가님이시죠? 에코 프레임워크 개발자 윤서진입니다. 드릴 말씀이 있습니다."

서진의 목소리는 차분했다. 하지만 그 차분함 뒤에 급박함이 있었다.

"저도 연락드리려던 참이었습니다."

"알고 있습니다. 오늘 발생한 금융 이상 거래와 삼성 건 — 저도 같은 공격자를 추적하고 있어요. 그리고 하나 더 알려드려야 할 게 있어요. '심연'이라는 마켓플레이스에서 '마스터키'라는 이름의 제로데이가 거래되고 있습니다. 상세는 비매품이에요. 판매자 이름은 '유령'. 이게 오늘 공격과 관련이 있다고 봅니다."

준혁은 메모를 하지 않았다. 이미 머릿속에 기록되고 있었다. 마스터키. 유령. 심연.

"만나서 이야기합시다. 내일 아침 가능합니까?"

"지금 당장이라도 괜찮습니다."