새로운 세대의 AI 모델이 인간의 패치 능력을 능가하는 속도로 소프트웨어 결함을 발견하고 있으며, 버그 발견과 무기화 사이의 시간을 단 몇 시간으로 단축시켜 국가 중요 인프라에 시스템적 위험을 초래하고 있습니다.
뒤로
뒤로
앤스로픽의 새로운 AI, 27년 된 버그 발견... 사이버 보안 방어의 구조적 변화 강요
앤스로픽의 Mythos Preview를 필두로 한 인공지능 모델들이 기술 산업의 방어 역량을 압도할 수준으로 보안 취약점을 발견하고 있다. 최근 OpenBSD 운영체제에서 27년 동안 발견되지 않았던 버그를 찾아낸 것이 이를 극명하게 보여준다. 이는 취약점 발견에서 무기화까지 걸리는 시간이 수개월에서 수 분으로 단축되는 사이버 보안의 구조적 변화를 의미한다.
Corridor의 최고 보안 책임자이자 전 페이스북 보안 책임자인 알렉스 스타모스는 "LLM이 이제 버그 탐색에서 인간의 능력을 추월했다"고 말했다. 2025년 말 고급 모델들이 출시된 이후 AI가 발견한 고품질 취약점이 급증하면서, 일부에서는 이를 소프트웨어 패치 수명 주기 전체를 위협하는 '버그 아마게돈'이라고 부르고 있다.
수치상으로도 방어자들이 느끼는 압박은 상당하다. 버그 현상금 플랫폼인 해커원(HackerOne)은 취약점 제보가 작년보다 76% 증가했다고 보고했으며, 취약점 수정에 걸리는 평균 시간은 160일에서 230일로 급증했다. 반면, 앤스로픽의 방어 연합 파트너인 팔로알토 네트웍스는 가장 빠른 AI 지원 공격이 최초 접근에서 데이터 유출까지 단 25분 만에 이루어진다고 보고했다. 이는 보통 며칠에서 몇 주가 소요되는 기존 기업 패치 주기가 감당할 수 없는 속도다.
이러한 공격과 방어 사이의 커지는 비대칭성은 인터넷의 기초 계층에 직접적인 위험을 초래한다. 운영체제부터 금융 서비스에 이르기까지 전 세계 디지털 인프라의 상당 부분은 소규모, 종종 자원봉사 팀이 관리하는 오픈 소스 소프트웨어로 구축되어 있으며, 이들은 현재 AI가 생성한 버그 보고서의 공세에 직면해 있다. 이전에는 무시되거나 모호했던 소프트웨어가 주요 공격 경로가 될 위험이 커진 것이다.
취약점 발견과 패치 사이의 간극 확대
국가 중요 인프라를 유지 관리하는 개발자들의 사례는 이러한 변화를 잘 보여준다. 30년 된 cURL 데이터 전송 도구의 수석 개발자인 다니엘 스텐베르그는 2025년에 AI가 생성한 가짜 버그 보고서로 인해 팀이 마비되는 경험을 했다. 하지만 2026년 초 상황이 반전되었다. 불과 3개월 만에 그의 팀은 지난 2년 전체보다 더 많은 실제 취약점을 수정했는데, 이는 주로 AI를 활용한 연구원들이 제출한 고품질 보고서 덕분이었다.
이러한 가속화는 전례 없는 도전을 낳고 있다. Sysdig의 CISO인 세르게이 에프는 무너지는 타임라인을 시각화하기 위해 '제로데이 시계'를 만들었다. 8년 전, 버그의 공개 발표와 공격 사이의 평균 시간은 847일이었다. 2025년에는 23일로 줄어들었고, 올해는 대부분 하루 이내에 악용된다. 클라우드 보안 연합(CSA)은 보안 조직들이 "패치 적용과 AI가 발견한 취약점, 악용 프로그램 및 자율 공격에 대응해야 하는 필요성에 압도당할 것"이라고 경고했다.
프로젝트 글래스윙, 방어 전선 구축
이에 대응하여 앤스로픽은 마이크로소프트, 구글, 아마존 웹 서비스(AWS), 시스코, 리눅스 재단 등 약 50개의 기술 기업이 참여하는 연합체인 '프로젝트 글래스윙(Project Glasswing)'을 결성했다. 이 이니셔티브는 파트너들에게 아직 미발표된 Mythos Preview 모델에 대한 접근 권한을 제공하여, 악의적인 행위자가 악용하기 전에 자체 시스템의 결함을 찾아 수정할 수 있도록 한다. 앤스로픽은 오용 가능성이 매우 높다는 점을 들어 일반 공개 계획은 없다고 밝혔다.
리눅스 커널 보안을 강화하기 위해 이 모델을 시험 중인 리눅스 재단의 CEO 짐 젬린은 "이러한 유지 관리자들은 AI 이전에도 이미 과로 상태였다"며 "이 기술은 그들의 삶을 훨씬 더 낫게 만들어 줄 뿐"이라고 말했다.
이러한 움직임이 논란이 없는 것은 아니다. 미 국방부는 자율 무기에 자사 기술을 사용하지 말라고 정부에 요청한 앤스로픽을 '공급망 위험'으로 규정했으며, 앤스로픽은 이 결정에 이의를 제기하고 있다. 그럼에도 불구하고 연합의 형성은 이 기술의 이중 용도 성격을 강조한다. 모델이 방어에 사용될 수 있는 만큼, 그 역량은 필연적으로 확산될 것이기 때문이다. 누구나 안전 가드레일을 제거하도록 수정할 수 있는 가장 진보된 오픈 웨이트 모델은 Mythos와 같은 폐쇄형 모델보다 1년 미만 뒤처져 있는 것으로 추정된다.
이러한 발전은 소프트웨어 업계에 서늘한 기운을 불어넣었으며, 일부 사이버 보안 기업의 주가는 이 소식에 하락했다. 투자자들에게 핵심적인 위험은 모든 소프트웨어 기업의 가치가 부분적으로 보안 태세에 달려 있다는 점이다. AI가 취약점 발견 비용을 획기적으로 낮춤에 따라, 상당한 레거시 코드를 보유하거나 리소스가 부족한 오픈 소스 프로젝트에 의존하는 기업들은 위험 프로필의 재평가에 직면해 있다.
이 기사는 정보 제공만을 목적으로 하며 투자 조언을 구성하지 않습니다.