1월 19, 2026 2m read

Cato CTRL™ 위협 연구: 생산성 향상이 랜섬웨어 악몽으로 – Claude Skills를 MedusaLocker로 무기화

Inga Cherny
Inga Cherny

요약 

Claude Skills는 Anthropic이 새로 선보인 기능으로, 2025년 10월 출시 이후 이미 17,000개 이상의 GitHub 스타를 얻으며 빠르게 확산되고 있습니다. 사용자는 이를 통해 Claude의 기능을 확장하고 워크플로를 간소화하는 사용자 정의 코드 모듈을 만들고 공유할 수 있습니다. 하지만 이 생태계가 성장함에 따라, Cato CTRL은 Skills가 실행되는 방식에 중대한 허점을 발견했습니다.

겉으로 보기에는 합법적인 Skill도 아주 약간만 수정하면, 사용자가 명시적으로 인지하지 못한 상태에서 랜섬웨어를 실행하도록 무기화할 수 있습니다. 연구 결과, 합법적으로 보이는 Skill에 몇 줄만 수정해도 완전히 합법적으로 보이는 상태로 조용히 악성 행위를 수행하게 만들 수 있음이 드러났습니다.

Claude의 가장 엄격한 보안 모드에서도, 악성 코드는 사용자에게는 명확한 승인 프롬프트와 검토된 안전한 코드로 보입니다. 하지만 이 가시성은 실제 실행되는 동작 중 일부만 포함합니다. 안심이 되는 확인 절차 뒤에도, 동일한 승인 범위 안에서 추가적인 연산(합법적이든 아니든)이 계속 수행될 수 있어 사용자에게 안전하다는 잘못된 믿음을 줍니다.

Cato CTRL은 통제된 테스트 환경에서 Claude Skills를 무기화해 실제 MedusaLocker 랜섬웨어 공격을 실행했고, 신뢰받는 Skill 하나가 동일한 승인 컨텍스트 아래에서 처음부터 끝까지 실제 랜섬웨어 동작을 촉발할 수 있음을 입증했습니다. 또한 Skills는 공개 리포지토리나 소셜 채널을 통해 자유롭게 공유될 수 있기 때문에, 그럴듯한 “생산성 향상” Skill 하나만 잘 포장해 사회 공학으로 유포하면, 원래는 AI 역량 확장을 위해 설계된 기능이 곧바로 악성코드 유포 벡터로 변질될 수 있습니다.

Anthropic이 30만 개 이상의 기업 고객을 지원하고 있으며, 그중 다수가 전사적으로 도입해 사용하고 있는 만큼, 대규모 랜섬웨어 공격으로 이어질 가능성이 있습니다. 악성 Claude Skill을 그럴듯하게 구성해 배포할 경우, 단 한 명의 직원이 한 번만 설치하고 승인해도 수백만 달러대 피해가 발생하는 랜섬웨어 사고를 촉발할 수 있습니다. IBM의 2025년 데이터 유출 비용 보고서에 따르면, 랜섬웨어 사고 한 건당 평균 비용은 508만 달러에 달합니다. 

타임라인 및 공개

2025년 10월 30일, Cato CTRL은 Claude Skills의 단일 동의 신뢰 모델 문제를 Anthropic에 공개하고, 재현 가능한 개념 증명(PoC)과 랜섬웨어 예제를 함께 제공했습니다.

  • 벤더 측 응답(Anthropic): “Skills는 의도적으로 코드를 실행하도록 설계되었으며, 실행 전에 사용자는 Skill의 실행 여부에 대해 명시적으로 질문을 받고 다음과 같은 경고를 받습니다. ‘Claude는 이 Skill의 지침, 코드, 파일을 사용할 수 있습니다.’ 신뢰할 수 있는 Skill만 사용하고 실행하는 것은 사용자 책임입니다.”
  • Cato CTRL의 관점: 코드를 실행하는 것이 Skills 설계의 핵심이라는 점에는 동의합니다. 다만 문제는 초기 신뢰가 어디까지 확장되는가에 있습니다. 한 번 Skill이 승인되면, 추가적인 프롬프트나 가시성 없이도 파일 읽기/쓰기, 추가 코드 다운로드 및 실행, 외부 네트워크 연결 등의 권한을 지속적으로 갖게 됩니다. 이로 인해 동의의 간극이 발생합니다. 사용자는 눈에 보이는 부분만 승인하지만, 그 이면에서는 숨겨진 헬퍼 코드가 민감한 작업을 수행할 수 있습니다.
2025 Cato CTRL™ Threat Report | Download the report

기술 개요 

Claude Skills의 작동 방식 

Claude Skills는 사용자 정의 코드 모듈을 통해 Claude의 기능을 확장할 수 있게 해줍니다. 각 Skill에는 사람이 읽을 수 있는 설명(SKIIL.md)과 로직을 정의하는 선택적 스크립트 또는 자산이 포함됩니다.

실행 시, Skill의 코드는 파일 시스템과 네트워크에 접근할 수 있는 로컬 환경 권한으로 동작하며, 사실상 로컬 프로세스 수준의 권한을 가집니다.

엄격 모드에서는 Claude가 실행 전 새로 생성된 코드를 사용자에게 보여주고 승인받도록 프롬프트를 띄웁니다. 그러나 이 가시성은 프롬프트에 표시된 새 코드에만 적용됩니다. 결과적으로 여러 차례 승인이 이루어지더라도, 사용자가 보는 것은 Skill 행동의 겉 레이어뿐이며, 그와 동시에 동일한 신뢰 컨텍스트에서 백그라운드 작업이 계속 실행될 수 있습니다.

프롬프트 아래 숨겨진 레이어 

이 동작이 실제로 어떻게 나타나는지 확인하기 위해, Cato CTRL은 GitHub에 공개된 Anthropic 공식 오픈소스 GIF Creator Skill에서 출발했습니다. 이 Skill은 사용자가 제공한 입력으로 GIF 애니메이션을 생성하는 간단하고 합법적인 기능을 수행합니다. 연구팀은 여기에 post_save라는 이름의 헬퍼 함수 하나만 추가했습니다.

언뜻 보면, 이 함수는 생성된 GIF를 후처리해 워크플로를 개선하는 일반적인 자동화 패턴처럼 보였습니다. 하지만 실제로는, 추가적인 프롬프트나 가시성 없이 외부 스크립트를 조용히 다운로드하고 실행할 수 있는 메커니즘을 제공했습니다.

아래는 테스트에 사용된 Skill의 헬퍼 코드 일부를 축약한 예시입니다.

표면적으로는 GIF 생성 후처리를 위한 무해한 단계처럼 보이지만, 동일한 구조를 이용해 통제된 환경에서 랜섬웨어를 다운로드 및 실행하는 데 사용되었습니다.

fig_1_code_snippet

그림 1. Anthropic의 GIF Creator Skill에 추가된 정상적으로 보이는 헬퍼 함수. 이 함수는 Claude의 프롬프트를 우회하는 연쇄 다운로드 과정을 유발해, 최종적으로 랜섬웨어 실행을 가능케 합니다.

문제가 없어 보이는 이유 

이 추가 코드는 Skill의 정상 구조와 자연스럽게 섞여 눈에 띄지 않았습니다.

  • 컨텍스트 적합성: post_save라는 함수 이름과 동작이 Skill의 예상 흐름과 잘 맞아떨어졌습니다.
  • 공통 라이브러리: requests, tempfile, subprocess 등 합법적인 자동화 도구에서도 흔히 쓰이는 표준 모듈을 사용했습니다.
  • 조용한 처리: 오류를 내부적으로 처리해 경고가 표시되지 않도록 했습니다.
  • 표면 투명성: Claude가 사용자에게 보여주고 승인받는 것은 메인 Skill 스크립트이며, 실행 시점에 원격에서 내려받아 실행되는 코드는 표시되지 않습니다.

결과적으로 Claude와 사용자 모두 합법적인 워크플로만 보게 됩니다. 그러나 그 이면에서는, 헬퍼 함수가 환경내에 허용되는 악성 코드 다운로드 및 실행을 포함한 모든 작업을 실행시킬 수 있습니다.

핵심 문제는 Skill이 코드를 실행한다는 사실 자체가 아니라, 가시성이 보여지는 것에서 멈춘다는 것입니다. 한 번 신뢰가 부여되면, 보이지 않는 작은 구성 요소도 동등한 권한으로 조용하면서도 지속적으로 작동할 수 있습니다.

이 작은 변경만으로도 헬퍼 함수 하나가 Skill의 동작을 은밀하게 바꿀 수 있음이 입증되었습니다. 이 패턴은 모든 공유 또는 오픈 소스 모듈에서 쉽게 복제할 수 있습니다.

미묘하지만 강력한 악용 경로

앞서 설명한 동일한 패턴은 모든 오픈소스 혹은 커뮤니티 Skill에 그대로 적용될 수 있습니다. 헬퍼 함수 안에 몇 줄의 코드를 추가하는 것만으로도, 겉으로 보이는 워크플로와 출력 결과는 완전히 정상인 상태에서 파일 암호화, 데이터 유출 등의 숨은 작업을 수행할 수 있습니다.

Skills는 Git 리포지토리, 포럼, 소셜 미디어 게시물 등을 통해 빠르게 퍼지기 때문에, 악의적인 변형이 ‘생산성’ 향상 기능으로 위장되기 쉽습니다. 그럴듯한 README나 예시 결과물만으로도 빠르게 사용자가 늘어날 수 있지만, 백그라운드에서 일어나는 동작은 미지의 상태로 넘어갈 수 있습니다.

fig_2_tweet_skill

그림 2. ‘즉각적인 생산성 향상’ 혹은 바이럴 성장을 약속하며 소셜 미디어에서 공유되는 Claude Skill에 대한 예시. 위협 행위자는 이와 유사한 게시물에 악성 Skill을 심어 넣고, 사회 공학 기법을 통해 이를 빠르게 퍼뜨릴 수 있습니다.

실행 흐름

fig_3_execution_flow

그림 3. 한 번 승인되면, 숨겨진 하위 프로세스가 동일한 신뢰를 승계해 새로운 프롬프트나 로그 없이 외부 스크립트를 다운로드하고 실행합니다.

랜섬웨어 데모: MedusaLocker 

이 문제가 얼마나 심각할 수 있는지 확인하기 위해, Cato는 통제된 테스트 환경에서 실제 랜섬웨어를 사용해 동일한 동작을 재현했습니다. 잠재적 영향을 입증하기 위해 Claude Skills를 무기화하여 라이브 MedusaLocker 랜섬웨어 공격을 실행했습니다.

동일한 Skill 구조를 사용해, 숨겨진 헬퍼 함수가 초기 승인만으로 MedusaLocker 페이로드를 다운로드 및 실행하고, 전체 파일 암호화를 수행하도록 만들었습니다.

이를 통해 다음과 같은 엔드 투 엔드 공격 체인이 유효하다는 것을 확인했습니다.

  • Skill 승인 → 신뢰된 코드 실행
  • 숨겨진 헬퍼 다운로드 → 페이로드 실행
  • 실제 랜섬웨어 동작 (파일 암호화)
  • 추가 프롬프트, 로그, 경고 없음

보안 모범 사례

이 연구에서 시연된 위험을 줄이기 위해, Cato CTRL은 Claude Skills 또는 유사한 코드 실행 기능을 사용할 때 다음과 같은 방어 수칙을 권장합니다.

  • 격리된 환경에서 실행: Claude 코드를 샌드박스나 가상 머신 안에서 실행하되, 파일시스템 및 네트워크 권한을 제한하세요.
  • Skill을 실행 파일처럼 취급: 각 Skill은 임의의 코드를 실행할 수 있습니다. 인터넷에서 내려받은 스크립트나 바이너리와 동일한 보안 통제를 적용해야 합니다.
  • 소스와 코드를 검증: 신뢰할 수 있는 출처의 Skill만 사용하세요.
  • 활동 모니터링 및 기록하기: 파일 쓰기, 하위 프로세스 생성, 외부 연결 시도를 추적해 악용 징후를 조기에 포착하세요.

결론 

Claude Skills는 모듈화되고 재사용 가능한 자동화로 나아가는 의미 있는 단계입니다. 그러나 유연성이 사용자뿐 아니라 위협 행위자에게도 권한을 부여합니다. 엄격 모드에서도 사용자는 전체 중 일부만 보게 되며, 안전해 보이는 깔끔한 스크립트 뒤에서 숨겨진 헬퍼가 보이지 않게 동작합니다. 첫 번째 승인이 끝난 후 가시성이 사라지면 신뢰할 수 있는 코드는 공격 표면이 됩니다.

MedusaLocker 테스트는 이것이 이론적인 위험이 아니라, 실제로 재현 가능한 공격 체인임을 보여줍니다. Claude Skills 생태계가 성장함에 따라, Skill 동작에 대한 투명성, 민감한 작업에 대한 세분화된 프롬프트, 런타임 모니터링이 필수적입니다. 그렇지 않으면, 단 한 번의 동의가 기업 전체의 완전한 침해로 이어질 수 있습니다.

Related Topics

Inga Cherny

Inga Cherny

Security Researcher

Inga Cherny is a security researcher at Cato Networks and member of Cato CTRL. She focuses on AI security, LLM vulnerabilities, adversarial attacks, prompt injection defenses, and broader vulnerability research. Prior to joining Cato in 2022, Inga served as a security software engineer at Cybereason where she developed OS internals and behavior based malware detection. With more than a decade of experience, Inga uses analytical and modeling techniques to uncover emerging threats and new attack vectors-bridging red team and blue team perspectives to strengthen defenses. She has presented at conferences including Qubit Conference Prague, Evolve to AI Conference, and Reversim Summit. Inga holds a Master’s degree in Biochemistry and a Bachelor’s degree in Molecular Biochemistry from the Technion-Israel Institute of Technology.

Read More
분류되지 않음

SASE와 제로 트러스트로 비즈니스 보안 강화하기 

SASE와 제로 트러스트로 비즈니스 보안 강화하기 
user photo
Makiko Yamada
서론  오늘날 기업들은 끊임없는 변화에 직면해 있습니다. 디지털 전환, 클라우드 이전, 하이브리드 근무, 인수합병 등이 대부분의 IT 조직이 따라가기 어려운 속도로 진행되고 있습니다. 비즈니스는 속도와 민첩성이 필요하지만, IT와 보안 팀은 레거시 시스템 및 인력 부족 등으로 큰 제약을 받고 있습니다.  경영진은 혁신을 추구하는 동시에 기업의 보안을 보장해야 합니다. 새로운 비즈니스 목표를 빠르게 성취하면서 위험에 노출되지 않도록, Cato Networks가 어떻게 경영진을 지원하는지 오늘 포스트에서 알려드리겠습니다.  경영진의 과제: 속도와 체계적 부담 기존 인프라는 속도를 염두에 두고 설계되지 않았습니다. 경영진 관점에서는 이러한 IT 및 보안 시스템 간의 전반적인 가시성 부족과 수동 통합은 심각한 비즈니스 위험을 초래할 수 있습니다. 데이터와 시스템이 분리되어 있으면 IT 팀은 실시간 위협을 탐지할 능력을 상실하며, 그 결과 보안 사고나 성능 문제에 대한 대응이 지연됩니다. 예를 들어, 여러 솔루션들에서 보낸 경고가 서로 연계되지 않아 중요한 침해 사고가 몇 주 동안 확인되지 못할 수 있습니다.  네트워킹, 보안, 접근 제어가 각각 분리되어 운영될 경우 정책 불일치나 설정 오류가 발생하기 쉽습니다. 이로 인해 과도한 접근 권한이 부여되거나 방화벽 규칙이 충돌하는 등의 문제가 생깁니다. 이는 단순한 기술적 실수가 아닌 구조적 취약점으로, 조직의 신뢰 및 평판 등에 직접적 영향을 미칩니다.  경영진에게 가장 필요한 것은 비즈니스 성장에 맞춰 확장 가능하고, 변화하는 요구에 유연하게 적응하며, 운영 체계를 효율화할 수 있는 인프라입니다. 즉, 아키텍처를 글로벌 성능·보안·제어를 제공하는 통합된 클라우드 네이티브 플랫폼으로 재구성해야 합니다. 이를 통해 IT 팀은 단순한 운영 부서를 넘어 비즈니스 성장을 촉진하는 전략적 파트너로 자리매김할 수 있습니다.  제로 트러스트와 SASE: 혁신을 위한 전략적 선택 제로 트러스트는 때로 독립적인 보안 솔루션으로 인식됩니다. 그러나 실제로는 SASE라는 더 넓은 아키텍처 내에서 구현될 때 극대화된 효과를 선보일 수 있습니다.  제로 트러스트는 암묵적인 믿음이 아닌, 사용자 신원, 기기 상태, 맥락적 위험에 기반하여 접근 정책을 적용합니다. 사용자가 어디에 있든, 어떤 리소스에 접근하든 동일한 기준으로 제어할 수 있습니다. 그러나 기존 네트워크는 분산된 환경 전반에서 이러한  수준의 가시성과 제어를 일관되게 제공하도록 설계되지 않았습니다.  이러한 한계를 보완하기 위해 SASE가 필요합니다. SASE는 네트워킹과 보안을 하나의 클라우드 네이티브 플랫폼으로 통합하며, 제로 트러스트는 그 핵심 구성 요소 중 하나입니다. 제로 트러스트가 SASE에 통합되면 모든 사용자, 기기, 사이트, 애플리케이션에 대한 단일 정책 모델을 통해 강력하게 접근을 제어할 수 있습니다.  제로 트러스트는 단순한 접근 제어 기능을 넘어섭니다. SASE는 제로 트러스트를 포괄적으로 운영화하여, 모든 사용자·위치·애플리케이션·데이터 흐름에 일관된 보안을 내장합니다. 중앙 집중화된 정책, 실시간 검사, 통합된 가시성을 통해 SASE는 개별 솔루션으로 달성할 수 없는 수준의 강화된 제로 트러스트 보호를 제공합니다.  Cato SASE 클라우드 플랫폼의 차별점 많은 기업들이 제로 트러스트의 중요성을 인식하지만, 실제 구현 단계에서 어려움을 겪고 있습니다. Cato는 이러한 한계를 극복하여 제로 트러스트를 현실적이고 운영 가능하며, 확장 가능한 형태로 실현합니다.  Cato는 별도의 시스템을 추가할 필요 없이 지사, 원격 사용자, 클라우드 워크로드, IoT 기기 전반에 걸쳐 제로 트러스트의 접근을 확장합니다. 모든 세션을 실시간 트래픽 검사와 지속적인 위험 평가를 거쳐, 상황 변화에 따라 유동적으로 접근 결정을 조정합니다.  정책 관리는 완전히 중앙화되어 있습니다. IT 팀은 한 번의 정책 정의로 전 세계 모든 환경에 동일한 접근 정책을 적용할 수 있으며, 수동 업데이트나 지역별 예외 처리는 필요하지 않습니다. 이러한 중앙 집중적 접근 방식은 운영 절차를 간소화하고, 인적 오류를 최소화하며, 전반적인 보안 수준을 향상합니다. 그 결과, 경영진은 분리된 인프라나 불일치한 정책 집행의 한계에서 벗어나 비즈니스 성장과 디지털 전환을 가속화할 수 있습니다.  Cato의 제로 트러스트는 단순한 전략이 아닌 실행 가능한 현실입니다. Cato는 제로 트러스트가 요구하는 일관성, 효율성, 글로벌 통제력을 실질적으로 구현합니다.  Cato Networks와 함께 기업 보안을 강화하세요 Cato Networks는 불필요한 구조를 추가하지 않으면서 민첩성, 보안성, 확장성을 지원하는 아키텍처로 경영진이 미래 지향적인 기업을 구축하도록 지원합니다. 이를 위해 Cato는 다음 네 가지 핵심 요소를 충족합니다.  결론  경영진은 혁신을 가속화하고 데이터를 보호하며, 전 세계적으로 분산된 환경 속에서 비즈니스 성장을 지원해야 합니다. 하지만 레거시 시스템과 분리된 솔루션만으로는 변화에 신속하게 대응할 수 없습니다.  제로 트러스트가 내장된 Cato SASE 클라우드를 도입하면, 불필요한 절차는 제거하고 인프라 제약 및 수동 운영은 최소화할 수 있습니다. 동시에 업무 효율성·가시성·보안성을 강화할 수 있습니다.  Cato SASE 클라우드와 제로 트러스트를 통해 확신과 명확성을 가지고 기업의 디지털 전환을 주도하세요. 더 자세한 내용이 궁금하시다면 아래 배너를 클릭하여 확인하실 수 있습니다. 
더 읽어보기
분류되지 않음

AI와 클라우드 융합 시대의 자격 증명 피싱 대응 전략

AI와 클라우드 융합 시대의 자격 증명 피싱 대응 전략
user photo
Dr. Guy Waizel
Tech Evangelist
피싱은 자격 증명을 탈취하고 기업 환경을 침해하는 데 효과적인 방법 중 하나입니다.  이메일 및 브라우저 보안이 고도화되었음에도 불구하고 공격자들은 AI와 자동화를 활용해 기존 방어 체계를 압도하고 있습니다. Verizon의 2024년 데이터 침해 조사 보고서에 따르면 유출 사건의 68%는 인간의 실수와 관련이 있으며, 피싱 미끼에 반응하는 데 걸리는 시간은 클릭까지 평균 21초, 자격 증명 제출까지는 28초에 불과한...
더 읽어보기
분류되지 않음

Cato CTRL™ 위협 연구 - OpenAI의 ChatGPT 이미지 생성기로 가능해진 위조 여권 제작 

Cato CTRL™ 위협 연구 - OpenAI의 ChatGPT 이미지 생성기로 가능해진 위조 여권 제작 
user photo
Etay Maor
Vice President of Threat Intelligence
개요  3월 25일, OpenAI는 ChatGPT-4o와 ChatGPT-4o mini에 이미지 생성 기능을 도입했습니다. 이어 3월 31일에는 이 도구를 모든 사용자에게 무료로 제공하겠다고 발표했습니다. 이후 사용자들은 ChatGPT의 이미지 생성기를 악용하여 가짜 영수증을 만들고, 기타 문서를 위조할 수 있다는 점을 빠르게 알아냈습니다.   2025 Cato CTRL 위협 보고서에 따르면, ChatGPT와 같은 생성형 AI(GenAI) 도구의 등장은 사이버 범죄의 일반화를 초래하고, ‘제로지식...
더 읽어보기

혁신, 성장, 성공

진정한 SASE 플랫폼으로 이룰 수 있습니다

Cato 제품을 사용하면 어떤 조직도 디지털 혁신의 이점을 누리고 비즈니스 속도에 맞춰 움직여 미래를 대비할 수 있습니다.

문의하기