[뉴스줌인] AI 보안 분석, 이미 실현된 위협…'AI 대(對) AI' 경쟁 대비해야

손주환 스틸리언 연구소장이 하반기 출시를 앞둔 AI 기반 취약점 분석 솔루션 '디퓨토(Diffuto·개발코드명)'를 소개하고, '클로드 미토스 프리뷰'가 촉발한 사이버 위협 경각심 고조에 대한 의견을 말하고 있다. (사진=박지호 기자)

인공지능(AI)가 보안 취약점을 찾아내는 속도가 가속화되고 있다. 특히 블랙박스 환경의 폐쇄형 소프트웨어(SW)까지 분석할 수 있어 사이버 위협이 커진 것으로 평가된다. 오픈소스와 달리 소수의 개발자가 공격에 대응해야 하기 때문이다. 이에 기업들도 취약점 분석에 AI를 적극 활용해야 한다는 진단이 나온다.

◇ 미토스, 성능 개선일뿐

앤트로픽의 '클로드 미토스 프리뷰'가 사이버 위협 경각심을 고조시킨 가운데, 기존 범용 모델에서도 이미 뛰어난 보안 취약점 분석이 가능했다는 평가가 나온다.

손주환 스틸리언 연구소장은 “미토스가 완전히 없던 능력을 처음 만든 것이 아니라, 기존에 가능하던 취약점 추론을 더 잘하는 방향으로 발전한 것으로 봐야 한다”고 강조했다.

스틸리언이 올해 하반기 출시 예정인 AI 기반 취약점 분석 솔루션 '디퓨토(Diffuto·개발코드명)'가 그 근거다. 디퓨토는 클로드(Opus)·챗GPT 등 범용 AI를 활용한다. 오픈소스가 아닌 소스코드가 비공개된 블랙박스 SW의 취약점 탐지에 특화됐다.

이 분야는 오픈소스보다 난도가 더 높다. 대다수 SW는 개발자가 작성한 소스코드가 컴파일러(Compiler)를 거쳐 바이너리(기계어)로 변환된다. 이를 디컴파일(Decompile)로 복원할 순 있지만 불완전한 형태라 분석이 어렵다.

스틸리언은 이를 범용 AI로 분석하는 데 성과를 냈다. AI로 정적 분석뿐 아니라 샌드박스 기반의 동적 분석까지 병행해 취약점을 검증한다. 실제 격리 가상머신(Isolated VM) 환경에서 바이너리를 직접 실행해 취약점 실제 발현 여부까지 확인한다.

손 소장은 “SW 단일 모듈 분석에 1분이 소요되며, 무거운 SW라도 1시간 내 분석이 가능하다”고 자신했다. 또 미토스와 같은 보안 특화 AI가 등장하는 한편, 범용 AI 모델의 성능도 꾸준히 개선되고 있는 만큼 디퓨토의 분석 역량도 함께 고도화될 것으로 내다봤다.

◇ 취약점 분석·무기화, 전문가 역량 필요

AI 확산 이후 비전문가도 손쉽게 보안 취약점을 찾고 공격할 수 있다는 우려에 대해서는 반대 의견을 냈다.

이는 전문가의 역량이 없다면 '유의미한 취약점'을 구분하기 어렵다는 의미다. 또 AI 기업들이 서비스 악용을 막기 위해 세워둔 안전 가드레일(Guardrail)을 우회하는 것도 전문가의 영역이라고 설명했다. 스틸리언이 개발한 디퓨토도 소속 화이트해커들이 오랜 실전 경험을 통해 쌓은 분석 노하우와 AI 활용 능력에 기반한다.

손 소장은 “AI가 취약점 의심 지점을 제시할 수는 있어도, 그것이 실제 취약점인지 검증하고 공격 가능성을 판단하는 것은 별개의 문제”라며 “익스플로잇(Exploit·취약점 공격 코드)으로 이어지는 단계는 여전히 전문 영역”이라고 말했다.

실제 현장에서는 부작용도 나타나고 있다고 전했다. 취약점 포상제(VDP) 제도의 보상을 받기 위해 AI로 확인한 취약점이 대량으로 신고되고 있다는 것이다. 취약점으로 보이지만 실현 가능성이 없거나 영향이 없는 사례들도 다수라 보안 담당자의 피로도를 높이고 있다고 설명했다.

오펜시브 보안 기업 스틸리언이 주말 서울 용산구 본사에서 개발 중인 인공지능(AI) 기반 취약점 분석 솔루션 '디퓨토(Diffuto)'를 최초 공개하고, 마이크로소프트(MS) 윈도우즈 커널 바이너리 분석을 시연했다. 박지호기자 jihopress@etnews.com

◇ AI 공격, AI로 막아야

AI는 취약점을 찾는 속도를 크게 끌어올리면서 '양날의 칼'로 평가받는다. 공격뿐 아니라 방어 관점에서도 활용이 가능해서다. 인력과 시간의 한계가 해소되면서 그동안 드러나지 않던 다량의 보안 취약점이 발견되고 있다. 일부 해커들이 오랜 기간 악용하던 취약점까지 발견돼 긍정적이다.

손 소장은 “AI는 우리에게 위협인 동시에 기회”라며 “취약점 탐지 속도가 수십 배 빨라진 만큼 방어 측도 공격에 대응할 수 있는 AI 기반 자동화 분석 체계를 갖춰야 한다”고 강조했다.

공격자는 하나만 성공하면 된다. 반면에 방어 측은 취약점의 영향도 판단, 패치 방법 검토, 부작용 검증까지 거쳐야 한다. AI 시대의 보안 경쟁은 결국 'AI 대 AI' 체제로 옮겨가고 있다는 게 진단이다.

스틸리언은 디퓨토로 고도화해 보안을 비롯한 국내 SW 개발업체들을 공략할 예정이다.

손 소장은 “디퓨토는 소스코드 없이 바이너리만으로 분석하는 구조여서 기업 핵심 자산 노출 우려 없이 도입할 수 있다는 점이 강점”이라며 “이를 활용하면 신속한 SW 보안 취약점 업데이트가 가능하다”고 말했다.

AI 보안 취약점 분석 관련 오해와 현실 - AI 보안 취약점 분석 관련 오해와 현실

박진형 기자 jin@etnews.com