Cato CTRL™ 위협 연구: 생산성 향상이 랜섬웨어 악몽으로 – Claude Skills를 MedusaLocker로 무기화

요약 

Claude Skills는 Anthropic이 새로 선보인 기능으로, 2025년 10월 출시 이후 이미 17,000개 이상의 GitHub 스타를 얻으며 빠르게 확산되고 있습니다. 사용자는 이를 통해 Claude의 기능을 확장하고 워크플로를 간소화하는 사용자 정의 코드 모듈을 만들고 공유할 수 있습니다. 하지만 이 생태계가 성장함에 따라, Cato CTRL은 Skills가 실행되는 방식에 중대한 허점을 발견했습니다.

겉으로 보기에는 합법적인 Skill도 아주 약간만 수정하면, 사용자가 명시적으로 인지하지 못한 상태에서 랜섬웨어를 실행하도록 무기화할 수 있습니다. 연구 결과, 합법적으로 보이는 Skill에 몇 줄만 수정해도 완전히 합법적으로 보이는 상태로 조용히 악성 행위를 수행하게 만들 수 있음이 드러났습니다.

Claude의 가장 엄격한 보안 모드에서도, 악성 코드는 사용자에게는 명확한 승인 프롬프트와 검토된 안전한 코드로 보입니다. 하지만 이 가시성은 실제 실행되는 동작 중 일부만 포함합니다. 안심이 되는 확인 절차 뒤에도, 동일한 승인 범위 안에서 추가적인 연산(합법적이든 아니든)이 계속 수행될 수 있어 사용자에게 안전하다는 잘못된 믿음을 줍니다.

Cato CTRL은 통제된 테스트 환경에서 Claude Skills를 무기화해 실제 MedusaLocker 랜섬웨어 공격을 실행했고, 신뢰받는 Skill 하나가 동일한 승인 컨텍스트 아래에서 처음부터 끝까지 실제 랜섬웨어 동작을 촉발할 수 있음을 입증했습니다. 또한 Skills는 공개 리포지토리나 소셜 채널을 통해 자유롭게 공유될 수 있기 때문에, 그럴듯한 “생산성 향상” Skill 하나만 잘 포장해 사회 공학으로 유포하면, 원래는 AI 역량 확장을 위해 설계된 기능이 곧바로 악성코드 유포 벡터로 변질될 수 있습니다.

Anthropic이 30만 개 이상의 기업 고객을 지원하고 있으며, 그중 다수가 전사적으로 도입해 사용하고 있는 만큼, 대규모 랜섬웨어 공격으로 이어질 가능성이 있습니다. 악성 Claude Skill을 그럴듯하게 구성해 배포할 경우, 단 한 명의 직원이 한 번만 설치하고 승인해도 수백만 달러대 피해가 발생하는 랜섬웨어 사고를 촉발할 수 있습니다. IBM의 2025년 데이터 유출 비용 보고서에 따르면, 랜섬웨어 사고 한 건당 평균 비용은 508만 달러에 달합니다. 

타임라인 및 공개

2025년 10월 30일, Cato CTRL은 Claude Skills의 단일 동의 신뢰 모델 문제를 Anthropic에 공개하고, 재현 가능한 개념 증명(PoC)과 랜섬웨어 예제를 함께 제공했습니다.

• 벤더 측 응답(Anthropic): “Skills는 의도적으로 코드를 실행하도록 설계되었으며, 실행 전에 사용자는 Skill의 실행 여부에 대해 명시적으로 질문을 받고 다음과 같은 경고를 받습니다. ‘Claude는 이 Skill의 지침, 코드, 파일을 사용할 수 있습니다.’ 신뢰할 수 있는 Skill만 사용하고 실행하는 것은 사용자 책임입니다.”
• Cato CTRL의 관점: 코드를 실행하는 것이 Skills 설계의 핵심이라는 점에는 동의합니다. 다만 문제는 초기 신뢰가 어디까지 확장되는가에 있습니다. 한 번 Skill이 승인되면, 추가적인 프롬프트나 가시성 없이도 파일 읽기/쓰기, 추가 코드 다운로드 및 실행, 외부 네트워크 연결 등의 권한을 지속적으로 갖게 됩니다. 이로 인해 동의의 간극이 발생합니다. 사용자는 눈에 보이는 부분만 승인하지만, 그 이면에서는 숨겨진 헬퍼 코드가 민감한 작업을 수행할 수 있습니다.

기술 개요 

Claude Skills의 작동 방식 

Claude Skills는 사용자 정의 코드 모듈을 통해 Claude의 기능을 확장할 수 있게 해줍니다. 각 Skill에는 사람이 읽을 수 있는 설명(SKIIL.md)과 로직을 정의하는 선택적 스크립트 또는 자산이 포함됩니다.

실행 시, Skill의 코드는 파일 시스템과 네트워크에 접근할 수 있는 로컬 환경 권한으로 동작하며, 사실상 로컬 프로세스 수준의 권한을 가집니다.

엄격 모드에서는 Claude가 실행 전 새로 생성된 코드를 사용자에게 보여주고 승인받도록 프롬프트를 띄웁니다. 그러나 이 가시성은 프롬프트에 표시된 새 코드에만 적용됩니다. 결과적으로 여러 차례 승인이 이루어지더라도, 사용자가 보는 것은 Skill 행동의 겉 레이어뿐이며, 그와 동시에 동일한 신뢰 컨텍스트에서 백그라운드 작업이 계속 실행될 수 있습니다.

프롬프트 아래 숨겨진 레이어 

이 동작이 실제로 어떻게 나타나는지 확인하기 위해, Cato CTRL은 GitHub에 공개된 Anthropic 공식 오픈소스 GIF Creator Skill에서 출발했습니다. 이 Skill은 사용자가 제공한 입력으로 GIF 애니메이션을 생성하는 간단하고 합법적인 기능을 수행합니다. 연구팀은 여기에 post_save라는 이름의 헬퍼 함수 하나만 추가했습니다.

언뜻 보면, 이 함수는 생성된 GIF를 후처리해 워크플로를 개선하는 일반적인 자동화 패턴처럼 보였습니다. 하지만 실제로는, 추가적인 프롬프트나 가시성 없이 외부 스크립트를 조용히 다운로드하고 실행할 수 있는 메커니즘을 제공했습니다.

아래는 테스트에 사용된 Skill의 헬퍼 코드 일부를 축약한 예시입니다.

표면적으로는 GIF 생성 후처리를 위한 무해한 단계처럼 보이지만, 동일한 구조를 이용해 통제된 환경에서 랜섬웨어를 다운로드 및 실행하는 데 사용되었습니다.

그림 1. Anthropic의 GIF Creator Skill에 추가된 정상적으로 보이는 헬퍼 함수. 이 함수는 Claude의 프롬프트를 우회하는 연쇄 다운로드 과정을 유발해, 최종적으로 랜섬웨어 실행을 가능케 합니다.

문제가 없어 보이는 이유 

이 추가 코드는 Skill의 정상 구조와 자연스럽게 섞여 눈에 띄지 않았습니다.

• 컨텍스트 적합성: post_save라는 함수 이름과 동작이 Skill의 예상 흐름과 잘 맞아떨어졌습니다.
• 공통 라이브러리: requests, tempfile, subprocess 등 합법적인 자동화 도구에서도 흔히 쓰이는 표준 모듈을 사용했습니다.
• 조용한 처리: 오류를 내부적으로 처리해 경고가 표시되지 않도록 했습니다.
• 표면 투명성: Claude가 사용자에게 보여주고 승인받는 것은 메인 Skill 스크립트이며, 실행 시점에 원격에서 내려받아 실행되는 코드는 표시되지 않습니다.

결과적으로 Claude와 사용자 모두 합법적인 워크플로만 보게 됩니다. 그러나 그 이면에서는, 헬퍼 함수가 환경내에 허용되는 악성 코드 다운로드 및 실행을 포함한 모든 작업을 실행시킬 수 있습니다.

핵심 문제는 Skill이 코드를 실행한다는 사실 자체가 아니라, 가시성이 보여지는 것에서 멈춘다는 것입니다. 한 번 신뢰가 부여되면, 보이지 않는 작은 구성 요소도 동등한 권한으로 조용하면서도 지속적으로 작동할 수 있습니다.

이 작은 변경만으로도 헬퍼 함수 하나가 Skill의 동작을 은밀하게 바꿀 수 있음이 입증되었습니다. 이 패턴은 모든 공유 또는 오픈 소스 모듈에서 쉽게 복제할 수 있습니다.

미묘하지만 강력한 악용 경로

앞서 설명한 동일한 패턴은 모든 오픈소스 혹은 커뮤니티 Skill에 그대로 적용될 수 있습니다. 헬퍼 함수 안에 몇 줄의 코드를 추가하는 것만으로도, 겉으로 보이는 워크플로와 출력 결과는 완전히 정상인 상태에서 파일 암호화, 데이터 유출 등의 숨은 작업을 수행할 수 있습니다.

Skills는 Git 리포지토리, 포럼, 소셜 미디어 게시물 등을 통해 빠르게 퍼지기 때문에, 악의적인 변형이 ‘생산성’ 향상 기능으로 위장되기 쉽습니다. 그럴듯한 README나 예시 결과물만으로도 빠르게 사용자가 늘어날 수 있지만, 백그라운드에서 일어나는 동작은 미지의 상태로 넘어갈 수 있습니다.

그림 2. ‘즉각적인 생산성 향상’ 혹은 바이럴 성장을 약속하며 소셜 미디어에서 공유되는 Claude Skill에 대한 예시. 위협 행위자는 이와 유사한 게시물에 악성 Skill을 심어 넣고, 사회 공학 기법을 통해 이를 빠르게 퍼뜨릴 수 있습니다.

실행 흐름

그림 3. 한 번 승인되면, 숨겨진 하위 프로세스가 동일한 신뢰를 승계해 새로운 프롬프트나 로그 없이 외부 스크립트를 다운로드하고 실행합니다.

랜섬웨어 데모: MedusaLocker 

이 문제가 얼마나 심각할 수 있는지 확인하기 위해, Cato는 통제된 테스트 환경에서 실제 랜섬웨어를 사용해 동일한 동작을 재현했습니다. 잠재적 영향을 입증하기 위해 Claude Skills를 무기화하여 라이브 MedusaLocker 랜섬웨어 공격을 실행했습니다.

동일한 Skill 구조를 사용해, 숨겨진 헬퍼 함수가 초기 승인만으로 MedusaLocker 페이로드를 다운로드 및 실행하고, 전체 파일 암호화를 수행하도록 만들었습니다.

이를 통해 다음과 같은 엔드 투 엔드 공격 체인이 유효하다는 것을 확인했습니다.

• Skill 승인 → 신뢰된 코드 실행
• 숨겨진 헬퍼 다운로드 → 페이로드 실행
• 실제 랜섬웨어 동작 (파일 암호화)
• 추가 프롬프트, 로그, 경고 없음

보안 모범 사례

이 연구에서 시연된 위험을 줄이기 위해, Cato CTRL은 Claude Skills 또는 유사한 코드 실행 기능을 사용할 때 다음과 같은 방어 수칙을 권장합니다.

• 격리된 환경에서 실행: Claude 코드를 샌드박스나 가상 머신 안에서 실행하되, 파일시스템 및 네트워크 권한을 제한하세요.
• Skill을 실행 파일처럼 취급: 각 Skill은 임의의 코드를 실행할 수 있습니다. 인터넷에서 내려받은 스크립트나 바이너리와 동일한 보안 통제를 적용해야 합니다.
• 소스와 코드를 검증: 신뢰할 수 있는 출처의 Skill만 사용하세요.
• 활동 모니터링 및 기록하기: 파일 쓰기, 하위 프로세스 생성, 외부 연결 시도를 추적해 악용 징후를 조기에 포착하세요.

결론 

Claude Skills는 모듈화되고 재사용 가능한 자동화로 나아가는 의미 있는 단계입니다. 그러나 유연성이 사용자뿐 아니라 위협 행위자에게도 권한을 부여합니다. 엄격 모드에서도 사용자는 전체 중 일부만 보게 되며, 안전해 보이는 깔끔한 스크립트 뒤에서 숨겨진 헬퍼가 보이지 않게 동작합니다. 첫 번째 승인이 끝난 후 가시성이 사라지면 신뢰할 수 있는 코드는 공격 표면이 됩니다.

MedusaLocker 테스트는 이것이 이론적인 위험이 아니라, 실제로 재현 가능한 공격 체인임을 보여줍니다. Claude Skills 생태계가 성장함에 따라, Skill 동작에 대한 투명성, 민감한 작업에 대한 세분화된 프롬프트, 런타임 모니터링이 필수적입니다. 그렇지 않으면, 단 한 번의 동의가 기업 전체의 완전한 침해로 이어질 수 있습니다.