AI가 쏟아낼 취약점 물결에 우리는 정말로 대비가 되어 있는가? 이건 먼 미래의 가상 시나리오가 아니다. 명백하고도 현실적인 위협이다. CrowdStrike의 최근 분석, 특히 Adam Meyers와 Cristian Rodriguez가 Adversary Universe 팟캐스트에서 밝힌 내용은 인공지능이 주도하는 가속화되는 위협 환경의 암울한 그림을 그려낸다. 단순히 점진적인 개선이 아니다. 사이버 보안 방어의 패러다임을 재정의할 수 있는 변화를 말하는 것이다.
문제의 핵심은 AI가 이제 취약점을 발견하는 속도에 있다. 전통적인 방식, 예를 들어 심층적인 리버스 엔지니어링이나 퍼징(fuzzing)은 본질적으로 인간의 시간과 노력이 많이 투입되었다. 소프트웨어 입력에 무작위 데이터를 쏟아부어 오류를 유발하는 퍼징 작업이 이제 AI 덕분에 터보 부스트를 받은 셈이다. AI는 이러한 충돌 폭포를 훨씬 빠르게 분류하고, 인간 연구자들이 몇 주 또는 몇 달을 들여야 발견했을 만한 잠재적 익스플로잇을 찾아낸다.
“저는 11월부터 계속 말해왔습니다. 제로데이 취약점이 대규모로 쏟아져 나오기까지 3개월에서 9개월 정도 남았다고요.”
Adam Meyers의 이 말은 과장이 아니다. 데이터 기반의 예측이다. 만약 AI가 취약점 발견 속도를 10배나 높인다면, 우리는 연간 거의 50만 개의 새로운 CVE에 직면하게 될지도 모른다. 이것은 단순한 골칫거리가 아니다. 이미 과부하 상태인 보안 운영 센터(SOC)에게는 실존적인 도전이다. 게다가 적들이 가만히 있을 거라고 생각하면 오산이다. CrowdStrike의 2026 Global Threat Report에서 지적했듯이, 적들의 AI 사용량은 전년 대비 89% 급증했다. 그들은 더욱 설득력 있는 피싱, 사회 공학 자동화, 심지어 에이전트 방식의 보이스 피싱 공격에 AI를 무기화하고 있다. 위협 행위자들에게 AI는 엄청난 효율성 증폭기다.
‘취약점 대재앙’의 위협
‘취약점 대재앙’이라 명명된 이 임박한 취약점 물결은 심오한 영향을 미친다. 엄청난 양 때문에 방어자들은 더 이상 모든 것을 패치하려 애쓸 수 없을 것이다. 취약점 패치 우선순위를 정하는 전통적인 방법—예상 피해 범위와 심각도(CVSS 점수)—은 특히 적들이 여러 개의 낮은 심각도 취약점을 연쇄적으로 이용하여 상당한 공격 경로를 만들 때 부족하다. 조직들은 훨씬 더 전략적이 되어야 한다.
CrowdStrike의 조언은 여기서 결정적이다. 실제로 악용되고 있는 것에 집중하라. CISA의 ‘알려진 악용 취약점(Known Exploited Vulnerabilities, KEV)’ 목록은 단순한 참고 자료를 넘어 필수적인 도구가 된다. 목표는 포괄적인 패치에서 위험 기반 완화로 전환하는 것이다. 즉, 모든 이론적 가능성에 맞서 요새를 짓는 것보다 이미 문을 두드리고 있는 위협에 대응하는 것이다.
제로데이 너머: 지속적인 위협
제로데이 취약점에 종종 주목하지만, 이것들이 단지 최초의 진입점일 뿐이라는 점을 기억하는 것이 중요하다. 제로데이를 가지고 있더라도, 공격자는 여전히 자신의 목표를 달성해야 한다. 즉, 내부망 이동(lateral movement), 권한 상승, 데이터 유출 등이다. 이러한 공격 후 활동이야말로 방어자들이 개입할 수 있고, 또 반드시 개입해야 하는 지점이다. 바로 여기서 CrowdStrike가 강조하는 ‘커뮤니티 면역(community immunity)’과 크라우드소싱 텔레메트리의 중요성이 부각된다. 아무리 새로운 공격 기법이라 할지라도, 관찰된 모든 위협 행위자의 전술, 기술, 절차는 전체 방어 생태계에 학습 기회가 된다.
이것은 단순히 CrowdStrike 제품만의 이야기가 아니다. 업계 전체에 지능을 공유하고 집단적 복원력을 구축하라는 더 넓은 행동 촉구다. AI의 속도는 군비 경쟁을 가속화시키고 있다. 단순히 수동적인 방어에만 의존하는 것은 패배를 의미할 것이다. 취약점 발견의 미래는 이미 여기에 와 있으며, 이는 선제적이고, 지능 중심이며, 고도로 우선순위가 정해진 방어 접근 방식을 요구한다.
AI는 사이버 보안에 양날의 검인가?
전적으로 그렇다. AI는 방어자와 공격자 모두에게 취약점 발견을 극적으로 가속화시킨다. 방어자에게는 위협을 더 빨리 식별하고 방대한 데이터를 분석하여 이상 징후를 찾는 데 도움이 될 수 있다. 하지만 공격자에게는 약점을 찾고, 정교한 공격을 설계하며, 악의적인 운영을 자동화하는 강력한 도구가 된다. 핵심은 누가 AI를 더 잘, 더 빠르게 활용하느냐에 달려 있다.
‘커뮤니티 면역’이란 실제로 무엇인가?
광범위한 네트워크에 걸쳐 관찰되고 분석된 위협 행위자들의 행동에서 얻은 집단적 지능을 의미한다. 한 조직의 보안 도구가 새로운 공격 기법을 탐지하면, 그 지능은 (익명 및 안전하게) 공유되어 모든 사람의 방어를 개선하는 데 기여할 수 있다. 마치 사이버 보안 위협에 대한 ‘집단 면역’과 같다.
조직은 ‘취약점 대재앙’에 어떻게 대비할 수 있는가?
- 실제 악용 기반 우선순위 설정: CISA의 KEV 목록 및 알려진 악용 취약점 피드에 집중하라.
- 탐지 및 대응 강화: 최초 침투뿐만 아니라 공격 후 활동을 탐지할 수 있는 역량에 투자하라.
- 위협 인텔리전스 채택: 현재 위협 행위자의 무역 관행을 이해하고 그에 따라 우선순위를 설정하기 위해 고품질 위협 인텔리전스를 통합하라.
- 패치 작업 간소화: 알려지고 치명적인 취약점에 대해서는 가능한 한 패치를 자동화하되, 제로데이에 대해서는 민첩성을 유지하라.
- 정보 공유 촉진: 산업 그룹에 참여하고 익명화된 텔레메트리를 공유하여 집단 방어에 기여하라.
취약점 발견의 미래는 의심할 여지 없이 AI 기반이다. 그 미래가 관리 불가능한 ‘취약점 대재앙’으로 이어질지, 아니면 더 지능적이고 탄력적인 방어로 이어질지는 조직이 얼마나 빨리 전략을 조정하고 협력적 지능을 받아들이느냐에 달려 있다. 시간은 촉박하고 데이터는 명확하다. 공격자들은 이미 이 기술을 대규모로 활용하고 있다.
