사이버 공격 사이버 보안 AI 보안 Mythos 취약점 탐지

최근 AI 기반 취약점 탐지 도구 'Mythos'가 주목받고 있다. 이는 AI가 소프트웨어 취약점을 발견하는 데 있어 한 단계 진전된 사례이지만, 보안 환경이 하루아침에 바뀌었다거나 기업들이 갑작스럽게 완전 자동화된 공격에 노출되었다는 의미는 아니다.

Mythos는 AI가 공격적 용도로 발전하고 있음을 보여주는 또 하나의 사례일 뿐이다. 방어 측은 이제 대응책을 마련해야 한다. AI 모델은 점차 능력이 향상되고 비용이 저렴해질 것이며, 각 발전 단계마다 보안팀은 더 큰 압박에 직면할 것이다.

Mythos의 의미: 취약점 발견의 혁신, 그러나 한계도 뚜렷

Mythos는 AI가 소프트웨어 취약점을 이전보다 깊이 있게 발견할 수 있음을 입증했다. 이는 실질적인 진전으로 평가할 만하지만, 기업 환경에서 즉각적인 위협으로 이어지지는 않는다. Anthropic이 제시한 예시에서도 알 수 있듯이, 취약점 발견 비용은 여전히 높았다. 예를 들어, OpenBSD의 주요 취약점을 발견하는 데 약 2만 달러의 토큰 비용이 소요되었다.

Mythos는 인력을 대체하는 방식으로 취약점 발견 비용을 절감했지만, 이는 문제의 일부분에 불과하다. 공격자가 취약점을 발견했다고 해서 곧바로 공격이 용이해지는 것은 아니다. 실제 공격 환경에서 취약점이 exploitable한지, 공격 경로가 존재하는지, 접근 권한을 획득할 수 있는지, 그리고 실질적으로 공격을 수행할 수 있는지는 여전히 복잡한 문제다.

보안의 진짜 과제: 발견이 아닌 우선순위와 대응

기업 보안 리더들이 직면한 문제는 취약점의 존재가 아니다. 문제는 어떤 취약점이 실질적으로 위협이 되는지, 어떤 것이 우선순위인지, 어떤 대응이 가능한지, 그리고 비즈니스 중단 없이 안전하게 패치할 수 있는지를 결정하는 데 드는 막대한 운영 비용이다.

예를 들어, 대규모 기업이 널리 사용되는 소프트웨어에서 취약점을 발견했다고 가정해 보자. 다음 단계는 마법이 아니다. 소프트웨어가 설치된 위치, 버전, 실질적인 공격 경로 여부 등을 확인하는 고통스러운 연쇄적인 운영 질문에 직면하게 된다. Mythos는 이러한 실질적인 기업 환경에서 발생하는 방어 비용을 크게 줄이지 못한다.

AI 발전 속도에 맞춰 방어 체계 재구축해야

시장은 종종 AI의 새로운 능력이 모든 것을 바꿀 순간이라고 오해한다. 그러나 현실은 그렇지 않다. 올바른 접근은 지금부터 유용한 AI 방어 시스템을 구축하고,随着时间的推移, 모델이 발전함에 따라 성능을 향상시키는 것이다.

대부분의 기업에게 이는 AI 제품이 경보 조사, threat hunting, 취약점 관리를 개선하고, 전체 감사 기능을 제공하며, 기업 데이터에 연결되어 조직적 맥락을 제공하고, 모델 생태계가 성숙함에 따라 진화할 수 있는 제품인지 확인하는 것을 의미한다. 궁극적인 목표는 AI가 더 많은 역할을 담당하는 미래를 대비해 지금 운영 기반을 구축하는 것이다.

출처: CyberScoop
아비트럼 보안위원회, 켈프 DAO 해킹 자금 7100만 달러 동결…업계 반응 갈려
← 이전

아비트럼 보안위원회, 켈프 DAO 해킹 자금 7100만 달러 동결…업계 반응 갈...

 케빈 워시 연방준비제도(Fed) 인준 청문회: 개혁가인가, 이해충돌 우려인가
다음 →

케빈 워시 연방준비제도(Fed) 인준 청문회: 개혁가인가, 이해충돌 우려인가