AI가 취약점을 찾는 속도, 보안은 이미 뒤처지고 있다
자동화된 인공지능 기반 공격이 속도와 규모에서 기존 방어 체계를 압도하기 시작했다.
앤트로픽의 클로드 미토스 프리뷰가 사이버보안을 통째로 무너뜨리지는 않지만, 취약점 악용 시간 단축과 취약점 관리 공백을 드러내며 구조적 변화를 예고한다는 분석이 나왔다. 보안 책임자는 다가올 변화에 대비할 필요가 있다.
지난 한 주 동안 앤트로픽이 공개한 글래스윙에 대한 반응은 극명하게 갈렸다. 한쪽에서는 취약점을 자율적으로 식별하고 악용하는 AI 시스템에 대한 우려가 제기됐고, 다른 한쪽에서는 새로운 내용이 없다는 평가도 나왔다.
한층 더 균형 잡힌 시각은 클라우드 보안 연합이 발표한 보고서에서 확인된다. 크노스틱 CEO이자 클라우드 보안 연합 AI 최고정보보안책임자 상주 고문 가디 에브론, 샌즈 연구소 AI 책임자 로브 티 리, 클라우드 보안 연합 수석 애널리스트 리치 모걸이 주도한 분석이다.
이 보고서는 전 미국 사이버보안 및 인프라 보안국 국장 젠 이스터리, 브루스 슈나이어, 전 미국 국가 사이버 국장 크리스 잉글리스, 전 구글 최고정보보안책임자 필 베너블스를 포함해 다수의 보안 책임자와 기업 CEO의 참여를 기반으로 작성됐다.
에브론은 다수의 전문가 의견이 빠르게 결집된 배경으로 사이버보안 산업의 특성을 언급했다. 또한, 사이버보안이 공동체적 성격을 갖고 있으며, 중요한 사안에 대해서는 잡음을 줄이고 정확한 정보를 공유하는 데 공감대가 형성된다고 설명했다.
보고서의 결론은 명확하다. 글래스윙은 예외적인 사례가 아니라 앞으로 보편화될 흐름의 초기 신호이며, 보안 책임자는 새로운 환경에 대비해야 한다는 것이다.
보고서는 단기적으로 보안 기업이 AI가 발견한 취약점과 공격 대응, 패치 적용 요구에 압도될 가능성이 높다고 지적했다. 또한 글래스윙 프로젝트로 시작된 취약점 공개 물결이 향후 대규모로 이어질 것이라고 분석했다.
변화의 핵심은 속도
AI 기반 취약점 탐지 자체는 새로운 개념이 아니다. 달라진 점은 속도다. 과거 수주 또는 수개월이 걸리던 취약점 발견, 공격 코드 개발, 공격 연결 과정이 이제는 단 몇 시간 내에 이뤄질 수 있다.
보고서는 클로드 미토스 프리뷰가 주요 운영체제와 브라우저 전반에서 수천 개의 치명적 취약점을 자율적으로 찾아내고, 인간 개입 없이 실제 동작하는 공격 코드를 생성하며, 자동화된 공격 수행까지 가능하게 했다고 평가했다. 이런 능력은 기존 대비 압도적인 속도와 규모를 보여준다는 분석이다.
기존의 비대칭 구조는 속도가 빨라지면서 더욱 심화된다. 방어 측은 지속적으로 정확해야 하지만 공격 측은 한 번의 성공만으로 충분하다.
또한 취약점 발견부터 무기화까지 걸리는 시간이 수시간 수준으로 줄어들면서 공격자는 더 큰 이점을 얻는다. 기존 패치 주기와 대응 프로세스, 위험 관리 체계는 이런 환경을 전제로 설계되지 않았다는 지적이다.
보고서는 미토스 대응 보안 체계 구축이 특정 모델 대응이 아니라 취약점 발견 속도와 대응 속도 간 격차를 상시적으로 줄이는 문제라고 강조했다.
클로드 미토스 프리뷰, 성능 입증
영국 AI 보안 연구소는 별도의 분석을 통해 미토스 프리뷰를 평가했다.
평가는 문제 해결형 보안 과제와 다단계 공격 시나리오를 포함한 복합 환경에서 진행됐으며, 미토스 프리뷰는 다른 AI 시스템 대비 우수한 성능을 보였다.
특히 초기 정찰부터 전체 네트워크 장악까지 이어지는 32단계 기업 네트워크 공격 시뮬레이션에서 가장 높은 성과를 기록했다. 인간 기준 약 20시간이 필요한 시나리오였다.
또한 미토스 프리뷰는 접근 권한을 확보한 이후, 보안이 취약한 소규모 기업 시스템에 대해 자율적으로 공격을 수행할 수 있는 것으로 확인됐다. 연구소는 유사한 능력을 가진 모델이 지속적으로 등장할 것으로 전망했다.
보안 책임자의 대응 과제
연구소는 기업이 기본 보안 체계를 강화해야 한다고 권고했다. 정기적인 보안 업데이트 적용, 강력한 접근 제어, 보안 설정 강화, 포괄적 로그 관리가 핵심 요소로 제시됐다.
또한 향후 모델은 더욱 강력해질 가능성이 높기 때문에 현재 시점에서 사이버 방어에 대한 투자가 중요하다고 강조했다. AI 기반 사이버 기술은 위협 요소이자 방어 역량을 강화하는 수단이 될 수 있다는 분석이다.
클라우드 보안 연합 보고서는 보안 책임자를 위한 세 가지 전망을 제시했다.
운영 측면에서는 초기 접근 프로그램에 참여한 약 40개 공급업체에서 대량의 패치가 발생할 가능성이 있으며, 과거 공급망 사고 대응처럼 단기간 집중 대응이 요구될 수 있다.
위험 관리 측면에서는 사업 위험 구조가 변화하면서 이해관계자와의 긴밀한 협의가 필요해지고, 보안 책임자의 위험 관리 범위가 축소될 수 있으며 보고와 예측에도 영향이 발생할 수 있다.
전략 측면에서는 장기적인 격차 분석을 수행하고, 기술 도입 속도를 높일 수 있는 거버넌스 체계와 AI 기반 보안 통제 도입을 포함한 핵심 기능 재정비가 필요하다.
보고서는 미토스를 이사회 수준의 의제로 격상시켜 보안 책임자가 현재 역량을 설명하고 추가 투자 필요성을 제기할 수 있는 근거로 활용할 수 있다고 분석했다.
