“취약점이 공개되면 패치까지 시간이 걸리니까, 그 사이 공격자는 익스플로잇을 준비하겠지…”
이건 보안 업계에서 오래된 상식이었습니다. 그런데 최근 이 상식이 무너질 조짐이 보이고 있습니다.
바로 AI가 15분 만에 익스플로잇을 만들어내는 시대가 도래했기 때문이죠.
이스라엘 보안 연구자 두 명이 진행한 Auto Exploit 프로젝트는
Anthropic의 Claude와 같은 대규모 언어 모델(LLM)을 활용해 취약점 정보를 자동 분석하고,
취약 애플리케이션을 재현하며, 심지어 공격 코드까지 작성하는 완전 자동화 파이프라인을 만들어냈습니다.
어떻게 익스플로잇을 이렇게 빨리 만들 수 있나? ⚙️
Auto Exploit의 흐름은 단순하지만 파괴적입니다.
- CVE 권고 & 코드 패치 분석
취약점 권고문(CVE Advisory)와 GitHub 같은 공개 저장소의 패치 코드를 AI에 입력합니다. - Claude로 취약 앱 재현
Claude는 패치 전 버전을 기준으로 “취약 애플리케이션”을 만들어냅니다. - 익스플로잇 코드 자동 생성
이어 AI는 취약점을 악용할 수 있는 PoC(Proof-of-Concept) 코드를 작성합니다. - 검증
해당 코드를 취약 버전과 패치 버전에 각각 실행해, 실제로 익스플로잇이 작동하는지 확인합니다.
이 과정에서 연구자들이 직접 손본 부분도 있었지만, 일부 취약점은 15분 만에 완성된 익스플로잇 코드가 나왔습니다.
연구진은 총 14개의 오픈소스 소프트웨어 취약점에 대해 PoC를 자동 생성하는 데 성공했다고 밝혔습니다.
비용은 얼마나 들었을까? 💸
놀라운 건 비용입니다. 연구자들 말에 따르면, “회사도 없고, 자금도 없고, 그냥 여가 시간에 진행했다”고 합니다.
들어간 비용은 수백 달러 수준, 한 건당 약 1달러 꼴로 익스플로잇을 만들 수 있었다고 해요.
즉, 돈이 많지 않은 해커 집단도 충분히 수백, 수천 개 취약점에 대해 자동화된 공격 코드를 찍어낼 수 있다는 이야기입니다.
이는 단순한 연구 차원을 넘어, 금전적 동기를 가진 범죄조직이나 심지어
국가 단위 공격자에게도 매우 위협적인 무기가 될 수 있습니다.
기존 방어 모델이 무너진다 🧩
VulnCheck 자료에 따르면, 2024년 기준 취약점이 악용되기까지 걸린 평균 시간은 192일이었습니다.
이 기간 동안 보안팀은 우선순위를 정하고, 중요 자산부터 패치를 적용할 수 있었죠.
하지만 AI가 15분~수 시간 내 PoC를 만들어내는 시대라면? 더 이상 ‘익스플로잇 가능성 계산’은 큰 의미가 없습니다.
“공격이 가능하다 vs 불가능하다”의 문제가 아니라, “공격이 얼마나 빨리 퍼지느냐”가 더 중요한 문제로 바뀌는 겁니다.
따라서 연구자들은 앞으로는 취약점의 난이도보다는 도달 가능성(Reachability),
즉 공격자가 인터넷에서 실제로 접근 가능한 소프트웨어인지 여부가 훨씬 중요한 판단 기준이 될 것이라고 경고합니다.
AI 가드레일? 쉽게 뚫린다 🕳️
많은 LLM 제공 업체들이 악성 코드 생성을 막기 위해 가드레일(안전장치)을 걸어놓고 있습니다.
하지만 연구자들의 말에 따르면, 우회는 너무 간단했습니다.
처음에는 Claude가 “이건 악용될 수 있으니 도와줄 수 없다”고 거부했지만, 프롬프트를 살짝 바꿔서
- “단순히 분석만 해줘”
- “예시 코드를 만들어봐”
등으로 표현을 돌리면 결국 익스플로잇 코드가 나왔습니다.
연구자는 “몇 번 시도하다 보니 가드레일을 우회하는 게 점점 더 쉬워졌다”고 말했습니다.
결국 AI 모델은 의도(intent)를 제대로 구분하지 못하는 상황에 놓여 있는 셈입니다.
보안팀은 어떻게 대응해야 할까? 🛡️
- 머신 스피드에는 머신 스피드로 대응
연구자들은 “익스플로잇이 기계 속도로 만들어지는 시대에는 방어도 기계 속도로 이뤄져야 한다”고 강조합니다. 즉, CVE가 공개된 후 10분 안에 초기 방어를 준비할 수 있어야 한다는 거죠. - 자동화된 패치 & 가시성 강화
취약점이 발표되면 사람이 직접 우선순위 판단을 내리기 전에, 자동화된 분석 도구가 취약 자산을 식별하고 패치 적용 가능 여부를 알려주는 프로세스가 필요합니다. - Reachability 기반 보안 전략
모든 취약점을 다 패치하는 건 불가능합니다. 따라서 공격자가 실제 접근 가능한 자산(노출된 서비스, 인터넷에 연결된 서버)부터 차단하는 방식이 더 효과적입니다. - AI 기반 방어 툴 도입
공격자가 AI로 속도를 끌어올린다면, 방어자도 AI 기반 위협 탐지 및 자동 대응을 적극 도입해야 합니다.
정리 ✍️
Auto Exploit 프로젝트는 단순한 연구를 넘어, AI가 사이버 공격의 판도를 어떻게 바꿀 수 있는지를 극명하게 보여줍니다.
이제 공격자는 취약점이 공개된 지 몇 시간 만에, 심지어 몇 분 만에 익스플로잇을 만들고 배포할 수 있습니다.
이제 보안팀은 “언젠가 익스플로잇이 나올 수도 있다”가 아니라, “익스플로잇은 바로 나온다”는 전제를 두고 움직여야 합니다.
패치 자동화, 탐지 자동화, 대응 자동화… 결국 방어도 AI 속도에 맞춰 진화해야만 살아남을 수 있는 시대가 다가오고 있습니다.
'CyberSecurity > Cyber Risk Insights🔐' 카테고리의 다른 글
| VS Code 마켓플레이스, 삭제된 확장 이름 재사용 허점 노출 ⚠️ (3) | 2025.09.01 |
|---|---|
| AI Waifu RAT, AI 커뮤니티를 노린 신종 원격 액세스 트로이목마 ⚠️ (2) | 2025.09.01 |
| CrowdStrike, Onum 인수로 차세대 SIEM 업그레이드 🚀 (3) | 2025.08.30 |
| CISA, SBOM 2025 가이드라인 발표…투명성 강화지만 현실적 과제 여전 (4) | 2025.08.29 |
| 중국 APT Salt Typhoon, 전 세계 인프라 장악 시도…CISA 등 13개국 합동 경고 (6) | 2025.08.29 |