[단독] 보안 취약 신고 10년 새 3.6배 급증… “AI 창, AI 방패로 막아야”

[이제껏 본적없는 ‘AI해커’] <3·끝> AI 해킹에 맞서려면

게티이미지뱅크

국내에서 사용 중인 소프트웨어의 취약점 신고 건수가 10년 새 3.6배 급증한 것으로 나타났다. 인공지능(AI) 발전으로 보안 취약점을 찾아내는 기술이 발전하면서 신고 건수 역시 늘어난 것으로 풀이된다. 취약점이 발견되면 이를 패치(업데이트)하는 작업이 뒤따라야 한다. 하지만 패치 속도가 취약점 발견 속도를 따라가지 못하면서 보안 공백이 불가피하다는 지적이 나온다. 전문가들은 공격에 대한 방어와 취약점 패치 등 예방 조치도 AI로 진행해야 보안 공백을 막을 수 있다고 조언한다.

16일 국민일보가 국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원실을 통해 확보한 ‘한국인터넷진흥원(KISA) 보안 취약점 신고포상제 통계 자료’에 따르면 지난해 접수된 보안 취약점 신고 건수는 2525건이었다. 2012년 제도 시행 이후 가장 많은 수치다. 보안 취약점 신고포상제는 국내에서 사용 중인 소프트웨어의 신규 취약점을 발굴해 KISA에 신고하면 최대 1000만원의 포상금을 지급하는 제도다. 인력이나 예산의 한계로 취약점 대응에 어려움을 겪는 기업들을 대신해 취약점을 발굴하고 대응을 지원하기 위해 마련됐다.

취약점 발견이 급격히 증가하는 배경에는 AI가 있다. AI 성능이 발전하면서 화이트해커들이 짧은 시간에 더 많은 취약점을 발견할 수 있게 됐기 때문이다. AI 기술이 적용된 서비스 자체가 늘어난 것도 원인으로 꼽힌다. KISA 관계자는 “최근 생성형 AI, 오픈소스 소프트웨어 등 새로운 기술 분야에 대한 보안 관심이 높아지면서 신고 범위가 확대되고 있다”고 말했다.

문제는 취약점이 발견돼도 방어·수정하는 속도가 이를 따라가지 못한다는 점이다. 공격은 AI로 빠르게 이뤄지지만 취약점을 수정하는 일은 인간 개발자가 하는 경우가 대부분이다. 앤트로픽은 지난 3일 발표한 보고서에서 “공격자들이 AI를 활용해 공격 효율을 비약적으로 높이는 상황에서 사람이 수동으로 진행하는 패치 방식으로는 속도를 따라잡을 수 없다”며 “취약점을 찾는 속도와 고치는 속도 사이에 존재하는 거대한 격차가 현재 모든 정부와 기업이 가장 무방비로 노출된 위험 지대”라고 지적했다.

김승주 고려대 정보보호대학원 교수는 “AI로 방어 체계를 구축해야 그 속도를 따라갈 수 있는데 국내 기업들은 복잡한 보고체계, 망분리(기업 업무망과 외부망을 단절시키는 것) 환경 등으로 인해 방어는 여전히 인간의 몫인 경우가 많다”며 “경직된 조직 문화를 개선하고 망분리를 개선해 보안에도 AI를 활용할 수 있는 환경을 갖춰야 한다”고 말했다.

정부는 AI를 활용한 취약점 대응에 나섰다. KISA는 최근 취약점 관리센터를 신설하고 고성능 AI를 활용한 취약점 검증과 패치 대응을 하고 있다. 오픈AI·앤트로픽 등 글로벌 프런티어 모델을 사용하는 동시에 프로젝트 글래스윙 참여를 통해 앤트로픽의 최상위 모델 미토스의 접근권이 확보되면 이 역시 활용할 계획이었다. 다만 미국 정부가 외국 국적자를 대상으로 미토스 사용을 차단하면서 활용 계획에 차질이 생겼다. 과학기술정보통신부 관계자는 “앤트로픽과 미토스 사용에 관해 계속 협의를 진행하고 있다”며 “절차가 마무리되면 취약점 관리센터에서 미토스를 취약점 검증 등에 활용하게 될 것”이라고 말했다.

테크이슈팀=심희정 양한주 김혜지 기자 simcity@kmib.co.kr

GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재 및 수집, 재배포 및 AI학습 이용 금지