사이버 공격 클라우드 보안 보안 AI 보안 Anthropic Claude 제로데이 취약점 소프트웨어 보안 오픈소스 보안 사이버 방어 퍼징(Fuzzing)

AI의 발전이 사이버 공격 비용을 급격히 낮췄다

과거에는 새로운 소프트웨어 취약점을 발견해 실제 공격으로 전환하는 데 몇 달이 걸렸다. 그러나 최근 Anthropic의 'Project Glasswing'과 같은 사례에서 보듯, 생성형 AI는 단 몇 분 만에 이 작업을 수행할 수 있으며, 클라우드 컴퓨팅 비용은 1달러 미만에 불과하다.

이 같은 변화는 사이버 보안 환경에 중대한 영향을 미치고 있다. AI는 공격 도구로 악용될 가능성이 있지만, 동시에 방어 시스템을 강화하는 데도 활용될 수 있는 양면성을 지닌다. Anthropic은 자체 AI 모델인 Claude Mythos 프리뷰 버전을 통해 이미 1,000개 이상의 제로데이 취약점을 사전에 발견했으며, 이 중에는 모든 주요 운영체제와 웹 브라우저의 결함도 포함되어 있다. Anthropic은 이러한 취약점을 신속히 공개하고 패치 작업을 진행하고 있다.

AI 기반 취약점 탐색: 공격자와 방어자 간의 새로운 전쟁

AI가 사이버 공격의 문턱을 낮추면서, 공격자와 방어자 간의 균형이 어떻게 변화할지 주목받고 있다. AI가 취약점을 찾는 속도와 비용이 급격히 감소함에 따라, 공격의 기술적 장벽은 사라지고 있지만, 방어는 여전히 전문가의 개입이 필수적이다.

과거에는 퍼징(Fuzzing)이라는 자동화된 취약점 탐색 기법이 등장했다. 퍼징은 무작위로 변형된 입력을 프로그램에 지속적으로 입력해 결함을 찾는 방법으로, AFL(American Fuzzy Lop)과 같은 도구가 주요 브라우저와 운영체제의 취약점을 발견하는 데 기여했다. 보안 커뮤니티는 이러한 위협에 대응해 Google의 OSS-Fuzz와 같은 시스템을 개발했다. OSS-Fuzz는 수천 개의 오픈소스 프로젝트에 대해 24시간 내내 퍼징을 실행해, 소프트웨어 제공업체가 제품을 출시하기 전에 결함을 발견할 수 있도록 지원했다.

그러나 AI 기반 취약점 탐색은 퍼징과는 다른 특징을 지닌다. 퍼징은 설정과 운영에 상당한 기술적 expertise가 요구되는 반면, AI는 간단한 프롬프트만으로 취약점을 찾을 수 있다. 이는 공격자는 더 이상 기술적 전문지식이 없어도 취약점을 악용할 수 있게 되었지만, 방어는 여전히 전문가가 AI가 발견한 취약점을 분석하고 수정해야 한다는 점에서 심각한 비대칭을 초래하고 있다.

오픈소스 의존성의 위험: AI 시대에도 해결되지 않은 문제

AI가 보안 위협을 가속화하는 가운데, 오픈소스 소프트웨어의 취약점 문제는 여전히 해결되지 않은 채 남아 있다. Peter Gutmann의 저서 Engineering Security에서 지적한 바와 같이, 많은 보안 기술이 '아무도 들여다보지 않아서 안전했던' 시대는 AI로 인해 종말을 고하고 있다.

현재 대부분의 오픈소스 인프라는 소규모 팀, part-time 기여자, 또는 보안 전문 인력이 없는 개인 기여자에 의해 유지되고 있다. 이러한 인프라의 취약점은 상업용 소프트웨어에 광범위한 영향을 미칠 수 있다. 예를 들어, 2021년 Log4j 취약점은 단几 명의 자원봉사자에 의해 유지되던 로깅 라이브러리의 결함이었으며, 이 취약점으로 인해 수백만 대의 장치가 노출되었다. Log4j는 단일 오픈소스 라이브러리의 결함이었음에도 불구하고,史上 가장 광범위한 소프트웨어 취약점 중 하나로 기록되었다.

이 같은 문제는 AI 시대에도 해결되지 않은 채 남아 있다. AI가 취약점을 더 쉽게 발견할 수 있게 되면서, 오픈소스 프로젝트의 보안 감사가 더욱 시급해졌다. 그러나 대부분의 프로젝트는 여전히 충분한 보안 리소스를 확보하지 못하고 있으며, 이는 AI가 초래할 새로운 보안 위협의 핵심 요인으로 지적되고 있다.

AI 시대 보안 전략: 어떻게 대응해야 할까?

  • 지속적인 취약점 스캐닝 도입: AI 기반 도구를 개발 워크플로우에 통합해, 지속적으로 취약점을 탐지하고 수정할 수 있도록 해야 한다.
  • 오픈소스 보안 강화: 오픈소스 프로젝트에 대한 보안 감사와 리소스 투자를 확대하고, 취약점 보고 및 패치 프로세스를 표준화해야 한다.
  • AI와 인간의 협력 강화: AI가 발견한 취약점을 신속히 분석하고 수정할 수 있는 인력과 프로세스를 확충해야 한다. AI는 보안 전문가의 부담을 줄이는 데 기여할 수 있지만, 완전한 자동화는 아직 한계가 있다.
  • 정책 및 규제 강화: AI 기반 사이버 공격의 확산을 막기 위해 국제적인 규제와 표준화가 필요하며, 특히 오픈소스 보안에 대한 법적 책임을 명확히 해야 한다.

"AI는 보안 위협을 가속화할 뿐만 아니라, 새로운 방어 전략의 필요성을 강조하고 있다. AI가 초래한 비대칭을 극복하기 위해서는 인력과 프로세스의 혁신이 필수적이다."

결론: AI 시대의 보안, 새로운 패러다임이 필요하다

AI는 사이버 공격의 문턱을 낮추었지만, 동시에 방어 시스템을 강화하는 데도 활용될 수 있는 기회이기도 하다. 그러나 AI가 초래한 비대칭을 극복하기 위해서는 지속적인 보안 투자, 오픈소스 보안 강화, 그리고 AI와 인간의 협력이 필수적이다. AI 시대가 도래하면서 보안 전략은 더 이상 과거의 패턴에 머물러서는 안 된다. 새로운 위협에 대응하기 위한 혁신적인 접근이 요구된다.

출처: IEEE Spectrum
미국 직장인 51%가 지난달 사무실에서 울었다… AI·업무 스트레스 심각
← 이전

미국 직장인 51%가 지난달 사무실에서 울었다… AI·업무 스트레스 심각

 ‘인빈시블 VS’ 리뷰: 기대와 달리 아쉬운 전투 게임
다음 →

‘인빈시블 VS’ 리뷰: 기대와 달리 아쉬운 전투 게임