이 글은 레드팀 관점에서 실제 공격자와 유사한 방식으로 침투 시나리오를 수행하도록 설계된 자율 해킹 에이전트 Decepticon을 정리한 글입니다. 단순한 스캐닝 도구 수준을 넘어, 정찰부터 익스플로잇, 권한 상승, 측면 이동, C2까지 전체 공격 체인을 자동화하고, 전문 레드팀 운영에 필요한 교전 패키지와 인터랙티브 환경을 함께 제공하는 것이 핵심입니다. 본문에서는 Decepticon의 개념, 등장 배경, 주요 기능과 구조, 그리고 레드팀 관점에서의 특장점을 중심으로 설명합니다.
Decepticon 개요와 등장 배경
Decepticon은 레드팀을 위한 자율형 해킹 에이전트입니다. 기존의 자동화 도구들이 nmap 실행 후 결과를 정리하는 수준의 데모에 머무는 경우가 많았다면, Decepticon은 실제 적대자가 수행하는 공격 흐름을 그대로 재현하는 데 초점을 맞췄습니다.
즉, “어떤 취약점이 있는가”를 나열하는 도구가 아니라, “실제 공격자가 어떻게 침투하고 내부에서 확장해 나가는가”를 하나의 작전으로 수행하도록 설계된 점이 가장 큰 배경입니다.
실제 공격자와 유사한 공격 체인 실행
Decepticon의 핵심은 전체 킬체인을 자동으로 수행한다는 점입니다.
정찰 단계에서 시작해 익스플로잇, 권한 상승, 측면 이동, C2까지 실제 공격 시나리오와 동일한 흐름을 따릅니다.
이 과정은 단발성 명령 실행이 아니라, 앞선 단계의 결과를 바탕으로 다음 행동을 결정하는 구조로 이어집니다. 따라서 단순 취약점 점검이 아닌, 실전형 레드팀 시뮬레이션에 가깝습니다.
교전 패키지 기반의 전문 레드팀 운영
Decepticon은 패킷을 송출하기 전에 완전한 교전 패키지를 생성합니다.
여기에는 다음 요소들이 포함됩니다.
- RoE(Rules of Engagement)
- ConOps(Concept of Operations)
- Deconfliction Plan
- OPPLAN(Operation Plan)
- MITRE ATT&CK 매핑
이 구조는 실제 레드팀 작전에서 요구되는 사전 합의와 통제 체계를 자동으로 정리해 주며, 기술적 실행뿐 아니라 운영 관점의 완성도를 함께 제공합니다.
인터랙티브 셸 중심의 실전 운용
Decepticon은 자동화에만 의존하지 않습니다.
실제 레드팀이 사용하는 인터랙티브 도구를 그대로 다룰 수 있도록 설계되어 있습니다.
- msfconsole, sliver-client, evil-winrm 등 인터랙티브 툴 지원
- 영구 tmux 세션에서 실행되어 세션 단절 없이 작업 지속
- 자동 프롬프트 감지로 불필요한 우회 없이 후속 명령 전송 가능
이 덕분에 자동화와 수동 조작이 자연스럽게 결합된 형태의 공격 시나리오 운용이 가능합니다.
강화된 샌드박스 격리 구조
보안 도구 자체의 안전성도 중요한 요소입니다. Decepticon은 모든 명령을 Kali Linux 기반 샌드박스 내부에서 실행합니다.
- 작전망(sandbox-net)과 관리망(decepticon-net)을 분리한 이중 네트워크 구조
- Docker 기반 샌드박스 실행
- LangGraph가 Docker 소켓을 통해 샌드박스를 제어
이를 통해 공격 시뮬레이션 과정에서 발생할 수 있는 리스크를 효과적으로 격리합니다.
16개 전문 에이전트 기반 킬체인 구조
Decepticon은 단일 에이전트가 모든 작업을 수행하지 않습니다.
킬체인 단계별로 총 16개의 전문 에이전트가 분리되어 구성되어 있습니다.
- Orchestration
- Reconnaissance
- Exploitation
- Post-Exploitation
- Vulnerability Research
- AD, Cloud, Smart Contracts, Reversing, Analyst 등 도메인 전문가 에이전트
각 목표마다 새로운 컨텍스트 윈도우를 사용해 이전 작업에서 발생한 노이즈를 제거하는 구조도 특징입니다. 이는 장시간 작전에서 정확도를 유지하는 데 중요한 역할을 합니다.
티어 기반 자격증명 인지형 폴백 체인
Decepticon은 보유 자격증명을 단순히 나열하지 않고, 우선순위 기반으로 자동 선택합니다.
- eco: 에이전트별 차등 티어, 프로덕션 환경용
- max: 모든 에이전트 HIGH 티어, 고가치 타깃용
- test: 모든 에이전트 LOW 티어, 개발 및 CI 환경용
Primary 자격증명이 실패하면 자동으로 fallback 체인이 구성되어 작전 흐름이 끊기지 않도록 설계되어 있습니다.
다양한 AI 모델 프로바이더 지원
Decepticon은 특정 모델이나 벤더에 종속되지 않습니다.
여러 AI 프로바이더를 지원해 환경과 목적에 따라 유연한 선택이 가능합니다. 이는 장기적인 확장성과 운영 안정성 측면에서 중요한 장점입니다.
Decepticon은 단순한 자동화 해킹 도구가 아니라, 레드팀 작전을 하나의 완성된 시스템으로 구현한 자율 해킹 에이전트입니다.
실제 공격자 관점의 킬체인, 교전 패키지 기반 운영, 인터랙티브 셸 지원, 샌드박스 격리, 전문 에이전트 구조까지 모두 갖추고 있습니다.
이 도구는 레드팀 훈련의 현실성을 높이고, 반복적인 작업을 줄이며, 보다 전략적인 공격 시뮬레이션에 집중할 수 있도록 돕습니다. 향후에는 실전형 보안 검증과 공격 시뮬레이션의 기준을 한 단계 끌어올리는 역할을 할 것으로 기대됩니다.
https://github.com/PurpleAILAB/Decepticon
GitHub - PurpleAILAB/Decepticon: Autonomous Hacking Agent for Red Team
Autonomous Hacking Agent for Red Team. Contribute to PurpleAILAB/Decepticon development by creating an account on GitHub.
github.com
'인공지능' 카테고리의 다른 글
| Coral NPU: 초저전력 엣지 AI를 위한 오픈소스 RISC-V 기반 머신러닝 가속기 (0) | 2026.05.31 |
|---|---|
| 오픈소스로 공개된 SkillOpt, 에이전트 스킬을 학습시키는 새로운 전략 프레임워크 (0) | 2026.05.31 |
| Nano Banana 2·Nano Banana Pro 정식 출시로 보는 엔터프라이즈 이미지 생성 AI의 진화 (0) | 2026.05.29 |
| Claude Opus 4.8 핵심 업데이트와 새로운 협업 기능 정리 (0) | 2026.05.29 |
| Claude Code와 Codex 실전 비교: 대규모 코드베이스에서 드러난 차이와 선택 기준 (0) | 2026.05.28 |
