에이전트 하이재킹 및 측면 이동: ServiceNow AI 취약점에서 얻은 교훈

Silverfort 영상
AI 블로그 제목
차례

이 게시물을 공유하기 :

TL; DR

2025년 12월, 중요한 사건이 발생했습니다. ServiceNow AI 취약점 사용자 사칭 및 전체 워크플로 악용이 가능해졌습니다. S 자격 증명 및 취약한 ID 바인딩으로 인해 에이전트가 위조된 ID를 사용하여 작업을 수행할 수 있으며, 여기에는 에이전트 간 신뢰 악용도 포함됩니다. 이는 런타임 시 발생하는 ID 오류이며, 이로부터 중요한 교훈을 얻을 수 있습니다. 신속한 문제 해결과 투명한 정보 제공을 통해 CVE를 넘어 더 많은 교훈을 얻을 수 있도록 도와준 ServiceNow에 감사드립니다. 

무슨 일이야?

2025년 12월 말, 보안 연구원들은 공개 심각한 인증 및 권한 부여 취약점안정성 ServiceNow의 AI 플랫폼에서 발견된 취약점으로, 이후 CVE-2025-12420으로 추적되었습니다. 이 결함은 Vir에 영향을 미쳤습니다.티알 AServiceNow API와 Now Assist AI 에이전트에서 취약점이 발견되었으며, 연구원들은 이 문제를 성공적으로 악용한 공격자가 관리자를 포함한 임의의 사용자를 사칭하고, 권한 있는 계정을 생성하고, 워크플로를 실행하여 고객의 ServiceNow 테넌트를 완전히 장악하고 연결된 엔터프라이즈 시스템으로까지 확장할 수 있음을 확인했습니다. 이 취약점은 고정된 통합 자격 증명, API 계층에서의 불충분한 신원 확인, 그리고 검증되지 않은 신원 컨텍스트를 기반으로 작업을 실행하는 AI 에이전트가 기존 보안 제어를 우회하는 등의 여러 요인이 복합적으로 작용한 결과입니다.

ServiceNow는 보고한 연구원들과 긴밀히 협력하여 2026년 1월 초에 패치와 구성 변경 사항을 배포하고, 내장된 자격 증명을 주기적으로 변경했으며, 고객에게 직접 완화 지침을 전달했습니다. 광범위한 악용 사례에 대한 공개적인 증거는 없었습니다. 이 사건의 중요성은 관찰된 피해 규모보다는 기업 플랫폼에서 자동화와 ID 관리가 어떻게 상호작용하는지에 대해 드러낸 점에 있습니다. 

무기화 ​​가능성 시나리오

공격자는 고객의 ServiceNow 테넌트 URL을 파악하고 권한 있는 사용자의 이메일 주소를 얻습니다. 취약한 가상 에이전트 API를 악용하여 인증 절차 없이 해당 사용자를 사칭함으로써 MFA 및 SSO를 완전히 우회할 수 있습니다. 

공격자는 Now Assist AI 에이전트를 사용하여 자동화를 실행하고 새 관리자 계정을 생성하며 높은 권한의 역할을 할당합니다. 이러한 작업은 승인된 워크플로를 통해 실행되며 정상적인 활동으로 기록됩니다. 그런 다음 공격자는 ServiceNow 통합 기능을 활용하여 연결된 ID 공급자에서 자격 증명을 재설정하거나, 클라우드 환경에 대한 액세스 권한을 부여하거나, 경고를 억제합니다. 

이 시점에서 취약점은 완전히 무기화됩니다. 공격자는 익스플로잇이 아닌 비즈니스 로직을 사용하여 지속적인 관리자 권한을 확보하고 ServiceNow를 제어 평면으로 신뢰하는 하위 시스템으로 측면 이동을 시도합니다.

ChatGPT 이미지 2026년 1월 16일 오전 8시 31분 22초
정찰에서 침투에 이르는 공격 흐름

그것의 정체는 바로 에이전트를 위한 런타임 신뢰입니다.

"이번 노출이 심각한 결과를 초래한 이유는 보안 제어가 누락되었기 때문이 아니라, 보안 제어가 어디에서 멈췄는지에 있습니다. 신원 확인은 진입 시점에서 한 번만 이루어졌고, 그 이후로는 영구적으로 신뢰할 수 있는 것으로 간주되었습니다. 그 시점 이후에는 작업이 실행되는 동안 신원 확인, 재검증 또는 의문 제기가 더 이상 이루어지지 않았습니다."

로이 아커만, 신원 보안 전략 담당 부사장

그 모델은 에이전트 기반 시스템에서는 제대로 작동하지 않습니다. 에이전트는 수명이 길고, 자율적이며, 구성적인이러한 에이전트들은 시간이 지남에 따라 작동하고, 다른 에이전트를 호출하며, 사람의 개입 없이 워크플로우를 실행합니다. 각각의 행동은 시스템에 대한 신뢰를 더욱 확장시키지만, 그러한 행동의 배후에 있는 정체성은 결코 재확인되거나 재평가되지 않는다..

결과적으로, 신원은 런타임 제어 요소가 아닌 정적인 레이블이 되었습니다. 권한은 경계선에서만 행사되었고, 실질적인 권력은 실행 흐름 깊숙한 곳에서 행사되었습니다. 최초의 신원 확인이 잘못되면, 이후의 모든 결정에 그 오류가 그대로 반영되었습니다.

행위 중심적인 환경에서는 정체성이 행위와 함께 이동해야 합니다. 요원들은 각자 고유한 정체성을 가져야 합니다.에이전트가 수행할 수 있는 작업에 대한 명확한 제한과 에이전트 간 권한 위임 방법에 대한 명확한 규칙이 필요합니다. 런타임 ID 검증이 없으면 자동화는 단순히 속도가 빨라지는 것이 아니라 맹목적으로 진행됩니다. 

주문형 웨비나

다음 과제는 인공지능 에이전트의 신원 보안 강화입니다.

  • AI 에이전트가 새로운 유형의 정체성인 이유는 무엇일까요?
  • 신뢰와 지배구조가 어떻게 방정식에 영향을 미치는가
  • 조직 내 AI 에이전트 보안 전략
지금보기
스크린 샷 2026-01-16 165126

신원 보안 관련 교훈

만약 당신이 구축/개발 워크플로우에 있다면확보/가드라이석남과의 식물 자치령 대표, 제 생각은 이렇습니다. s여러 ID엔터티와 접근 제어 실패 패턴은 해당 에이전트와 그들의 자격 증명/신뢰 관계가 형성된 취약한 방식에서 이례적으로 명확하게 드러났습니다. 

인증 없이 신분 도용

해당 플랫폼은 암호화 증명이 아닌 취약한 식별자에 기반한 신원 주장을 수용했습니다. 이메일 주소는 신원 토큰 역할을 하여 세션 유효성 검사, 다단계 인증(MFA) 및 보안 수준을 완전히 우회했습니다. 

권한 상승 및 지속성 

일단 계정 사칭에 성공하면 공격자는 더 이상 취약점을 악용할 필요가 없습니다. 추가 취약점을 악용했습니다. 그들은 합법적인 워크플로를 이용하여 취약점을 만들어냈습니다.새로운 p특권 계정 및 수정 역할, 설립 은밀한 백도어가 아닌, 승인된 상태 변경을 통한 지속성 확보. 

비즈니스 로직 및 워크플로우 오용

공격 경로는 승인된 자동화 시스템이 설계된 대로 정확하게 작동하는 것에 의존했습니다. 여기에는 프로비저닝 흐름, 승인 및 구성 변경이 포함됩니다. 처형 된 정확히 말하자면, 허위 신원 바로 아래에 숨어 있었습니다. 이로써 공격 표면이 코드 결함에서 비즈니스 로직에 내재된 신뢰 가정으로 옮겨갔습니다.

에이전트 간 신뢰 악용

에이전트들이 신원이나 의도를 재확인하지 않고 다른 에이전트에게 권한을 위임했습니다. 이로 인해 신뢰가 에이전트 간에 전파되어 단일 신원 정보 유출 사태의 영향을 증폭시키는 현대적인 '혼란스러운 대리인' 시나리오가 발생했습니다.

2차 실행

신뢰도가 낮은 입력값이 상호 작용을 통해 간접적으로 높은 권한의 행동을 유발했습니다.중재자 에이전트. 공격 대상은 프롬프트나 언어 조작이 아니라 실행 컨텍스트와 위임된 권한이었습니다.

탐지 및 감사 침식

신원 확인 계층 자체가 손상되고 공격자들이 계속해서 상위 계층으로 이동했을 때, 조치는 다음과 같았습니다. 인 것으로 나타났다 합법적인 사용자 활동으로 간주되었습니다. 결과적으로 기존의 신원 기반 모니터링 및 행동 분석은 신뢰성을 잃었습니다. 이러한 패턴들을 모두 합치면 보여 에이전트 시스템이 전통적인 보안을 약화시킨다는 점 정체성을 제외하고는 레이어링 제어는 다음과 같습니다. 신원 확인은 지속적으로, 상황에 맞게, 그리고 런타임에 시행되어야 합니다. 신원 정보가 제어 수단이 아닌 추측으로 취급될 때, 자동화는 보안을 강화하는 요소가 아니라 오히려 침해를 가속화하는 요인이 됩니다. 

결론: 잘못된 설정에서 다음 APT 공격까지

이 공격 흐름은 단일 결함이 아닌 AI 에이전트의 설계 및 실행상의 시스템적 실패를 드러냅니다. 에이전트 상호작용 흐름에서 신원 검증은 한 번만 이루어지고 그 후에는 무기한으로 그대로 유지됩니다. 신뢰는 재검증 없이 에이전트와 워크플로 전반에 걸쳐 전파됩니다. 각각의 결정은 개별적으로는 합리적으로 보이지만, 이러한 결정들이 결합되어 안전하지 않은 실행 경로를 형성합니다. 이는 장기간 지속되고 자율적이며 구성적인 시스템에서 권한이 이동하는 방식에 뿌리를 둔 흐름 수준의 취약점입니다.

사각지대는 코드 품질이 아니라 신뢰 연속성입니다. 조직은 잘못된 구성뿐 아니라 안전하지 않은 신뢰 경로를 검사해야 합니다. IAM 및 보안 팀은 이러한 실수가 발생할 수 있음을 가정하고 이를 강제해야 합니다. 런타임 ID 보안 따라서 설계 가정이 실패하더라도 악용 사례가 감지되고 차단됩니다. 이는 또한 공격 검증 커뮤니티에 에이전트 공격 경로 및 신뢰 전파 실패를 모델링하도록 촉구하는 것입니다. 

인공지능 도입 속도와 실험 정신에 휩쓸려 신원 정보 보안을 소홀히 해서는 안 됩니다. 에이전트 기반 시스템이 기존 보안 방식보다 빠르게 발전함에 따라, 신원 정보 보안은 지속적이고 실시간이며 상황 인식이 가능한 새로운 영역으로 확장되어야 합니다. 업무 수행 방식에 맞춰 신원 정보 보안을 조정하는 조직만이 미래를 선도할 수 있을 것입니다.

이것은 차세대 공격이 아닙니다. 공격 그룹들은 이미 스캐닝, 인증 회피, 그리고 이러한 결함 있는 설계 패턴 악용을 APT 인프라에 통합하고 대기업을 대상으로 테스트하고 있습니다.

AI 에이전트 보안에 대해 자세히 알고 싶으신가요?

AI 기반 환경에서 검색, 위험 평가 및 인라인 집행을 통합하는 방법을 살펴보세요. 

자세히 알아보기

리소스

CVE-2025-12420 
ServiceNow 인증 및 권한 부여 취약점을 설명하는 공식 CVE 기록입니다. 
https://nvd.nist.gov/vuln/detail/CVE-2025-12420 

ServiceNow 보안 권고 및 고객 알림 (1 월 2026) 
ServiceNow의 가상 에이전트 및 Now Assist AI 취약점에 대한 공식 공개 및 해결 지침입니다. 
https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB0XXXXXX 
(참고: ServiceNow 권고 사항은 고객이 접근할 수 있으며, 정확한 KB ID는 인스턴스별로 다릅니다.) 

AppOmni 연구: ServiceNow에서 "BodySnatcher" 에이전트형 AI 취약점 발견 
취약점, 악용 경로 및 에이전트 기반 남용 패턴에 대한 상세한 제3자 기술 분석. 
https://appomni.com/ao-labs/bodysnatcher-agentic-ai-security-vulnerability-in-servicenow/ 

어두운 독서  
AI 기반 SaaS 플랫폼의 취약성과 그 영향에 대한 독립적인 보고서 및 전문가 논평. 
https://www.darkreading.com/remote-workforce/ai-vulnerability-servicenow

ThaiCERT, ServiceNow AI 취약점 관련 권고 사항 발표 
국가 CERT 분석 보고서: 위험 요소, 영향을 받는 구성 요소 및 완화 권고 사항 강조. 
https://www.thaicert.or.th/en/2026/01/15/critical-ai-driven-vulnerability-discovered-in-servicenow-could-lead-to-full-system-compromise/ 

우리는 신원 보안을 한층 더 강화하기로 했습니다.

무엇이 가능한지 알아보세요.

데모를 설정하여 확인하세요 Silverfort 실제 사용 중인 ID 보안 플랫폼입니다.

데모 받기