AI ‘창’ vs AI '방패'...사이버 보안 전쟁 승자는?
||2026.04.13
![[사진: Reve AI]](https://contents-cdn.viewus.co.kr/image/2026/04/CP-2023-0397/image-292b304d-18b1-44b4-9d68-538b33e70aed.png)
[디지털투데이 황치규 기자] AI를 둘러싼 창과 방패의 승부가 글로벌 사이버 보안 업계 최대 관전포인트로 급부상했다. 해커들이 AI를 기반으로 IT시스템에서 빈틈을 빠르게 찾아낸 뒤 공격을 감행할 수 있게 된 가운데, 보안 업체들도 AI를 투입해 시스템 내 빈틈을 찾고 방어망을 구축하는데 속도를 내는 모습이다.
결국 공격과 수비수 중 누가 먼저 AI로 빈틈을 찾느냐가 승부처인 셈이다. 뉴욕타임스 최근 보도에 따르면 구글 클라우드 프랜시스 데조자(Francis deSouza) COO 겸 보안 제품 총괄 사장은 "AI로 AI와 싸워야 한다. 이는 사이버 환경에서 가장 큰 변화"라고 말했다.
AI 기반 창과 방패의 대결에서 어느 한 쪽이 유리한 위치에 있다 보기는 아직 어려운 상황이다. 전문가들 의견도 엇갈린다. 전문가들은 향후 몇 년 간 싸움이 어떻게 펼쳐질지 확신하지 못하고 있다고 뉴욕타임스는 전했다.
AI 모델 개발사 앤트로픽은 2월 AI를 사용해 다양한 유명 오픈소스 소프트웨어들에서 이전에는 알려지지 않았던 취약점, 이른바 제로데이 취약점을 500개 이상 찾아냈다고 밝혔다. 3월에는 앤트로픽 한 연구원이 2003년부터 있었지만 발견되지 않았던 리눅스 커널 취약점을 찾아냈다고 공개해 관심을 받았다.
공격하는 쪽에서 보면 AI는 공격의 속도와 규모를 확 끌어올릴 수 있는 첨단 무기가 될 수 있다.
앤트로픽 클로드 코드나 오픈AI 코덱스 같은 AI 코딩 툴이 발전하면서 다양한 작업을 스스로 처리하는 AI에이전트를 개발하는데 따른 진입 장벽은 크게 낮아졌다. 소프트웨어에서 취약점을 찾아내고 이를 기반으로 공격을 시도하는 AI에이전트를 만드는 것도 쉬워졌다.
구글 클라우드 데조자 COO는 "AI가 없다면 공격자들은 컴퓨터 네트워크에 침입하는데 몇 분이 걸릴 수 있지만 AI를 투입하면 몇 초 안에 할 수 있다"고 말했다.
사이버보안 업체 코리도(Corridor) 최고제품책임자 알렉스 스타모스는 "오픈 가중치 모델이 파운데이션 모델 버그 탐지 능력을 따라잡는 데 6개월도 안 남았다"며 "그 시점이 되면 랜섬웨어 공격자 누구나 흔적을 남기지 않고 취약점을 찾아 무기화할 수 있다"고 경고했다.
일부 해커들은 시스템에 침입할 수 있는 경로를 찾아내 이를 다른 공격자들에 팔아왔는데, 이같은 과정도 예전에는 최대 8시간까지 걸렸다면 지금은 AI 덕분에 20초면 가능하다는게 그의 설명이다. 데조자 COO는 "해커들은 종종 속도를 끌어올리기 위해 AI에이전트를 사용하고 있다"고 말했다.
앤트로픽, 오픈AI 등은 AI모델이 사이버 공격에 악용되지 않도록 가드레일(안전장치)들을 추가하고 있지만 공격자들은 이를 우회하는 방법을 찾아내고 있다. 일부 전문가들 사이에선 가드레일이 가드레일이 공격으로부터 시스템을 보호하려는 사용자들이 필요로 하는 도움까지 막아 오히려 공격자들에 유리하게 쓰일 수 있다는 지적도 있다.
AI는 막는 쪽에 유리한 기술이라는 시각도 적지 않다.
지난해 부터 글로벌 주요 오픈소스 프로젝트들에는 AI를 사용해 보안 취약점을 찾아내는 이들에 제공한 제보들이 쇄도하고 있다. 이들 중 상당수가 AI가 저지른 실수로 인해 사실과는 다른 것들이 많았지만 몇 개월 전부터는 상황이 달라졌다. AI가 진짜 버그를 놀라운 속도로 찾아내기 시작했고 프로그래머들은 이를 수정하게 위해 빠르게 움직이고 있다고 뉴욕타임스는 전했다.
유명 오픈소스 프로젝트 컬(Curl)을 운영하는 다니엘 스텐버그는 "AI 모델들은 사람이 할 수 있는 일을 증강시킬 수 있다"면서 "AI를 올바르게 사용하면 사람은 소프트웨어에서 문제를 찾아내는 역량을 제대로 끌어올릴 수 있다"고 말했다.
계속 개선되고 있지만 AI는 여전히 결함과 오류에서도 자유롭지 않다. 보안 관련해서도 AI는 여전히 노련한 전문가들 경험을 필요로 한다는 얘기다. 이에 콜터 교수 등은 AI를 활용한 창과 방패의 대결에서 막는 쪽이 유리한 위치에 있다고 주장한다. 수비는 취약점을 찾으면 되지만, 공격 쪽은 취약점을 찾는 것을 넘어 이를 실제로 악용하는 과정까지 커버해야 한다는 것이다. 콜터 교수는 "취약점을 찾는 것보다 그것을 의미 있게 악용하는 일이 더 어렵다"고 말했다.
