“미국 최고의 레드팀 해커는 AI 봇” 취약점 찾는 실력, 인간 뛰어넘었다 : zum 뉴스

AI가 인간 레드팀 해커를 능가할 정도로 정교해지고 있다.

미국 보안 업계에서 레드팀 해커의 평판을 기준으로 순위를 매기는 권위 있는 리더보드에서 ‘엑스보(Xbow)’라는 AI 봇이 1위에 올랐다.

윤리적 해커와 기업을 연결해 버그 바운티 프로그램을 운영하는 플랫폼 해커원(HackerOne)의 리더보드에서 엑스보는 엔터프라이즈 소프트웨어의 취약점을 식별하고 보고하는 데 있어 다른 해커 99명을 압도하는 성과를 기록했다. 이 봇을 개발한 기업에 따르면, AI가 해당 순위에서 1위를 차지한 것은 버그 바운티 역사상 처음 있는 일이다.

이 같은 성과는 AI가 짧은 시간 안에 사이버보안 분야에서 얼마나 빠르게 발전했는지를 보여주는 동시에, 악의적 세력에 의해 손쉽게 확산될 수 있다는 점에서 우려를 낳고 있다.

사이버보안 업체 보서론 시큐리티(Beauceron Security) CEO 데이비드 시플리는 “이 시나리오에서 AI의 활용은 방어자보다 공격자에게 더 유리하게 작용한다. 대규모 조직에서는 서비스 핵심 영역에 대한 패치 검증 작업을 여전히 자동화하기 어려워 반드시 사람이 개입해야 하기 때문”이라고 지적했다.

1,000건 넘는 취약점 발견한 엑스보

엑스보는 완전 자율적으로 작동하는 AI 기반 침투 테스트 봇으로, 사람의 개입 없이도 스스로 보안 취약점을 탐지·공격하는 능력을 갖췄다. 개발사 측은 엑스보가 “사람과 유사한 방식으로 작동하는 침투 테스터이며, 빠르게 확장할 수 있고 수 시간 내에 종합적인 테스트를 마칠 수 있다”라고 설명했다. 회사 웹사이트에 따르면, 엑스보는 웹 보안 벤치마크의 75%를 통과하고, 취약점을 정확하게 식별해 악용할 수 있다.

지금까지 엑스보는 해커원에 약 1,060건에 달하는 보안 취약점을 제출했으며, 그 유형도 매우 다양하다. 보고된 항목에는 RCE(remote code execution), 정보 노출, 캐시 오염, SQL 인젝션, XXE(XML External Entities), 경로 탐색, SSRF(server-side request forgery), XSS(cross-site scripting), 비밀 정보 노출 등이 포함됐다. 회사에 따르면, 엑스보는 최근 팔로알토네트웍스의 글로벌프로텍트(GlobalProtect) VPN 플랫폼에서 알려지지 않은 신규 취약점도 발견했다. 이 취약점은 전 세계 2,000개 이상의 호스트에 영향을 미친 것으로 파악됐다.

엑스보가 최근 90일간 제출한 취약점 중 54건은 ‘치명적(Critical)’ 등급, 242건은 ‘높음(High)’, 524건은 ‘중간(Medium)’ 수준의 심각도로 분류됐다. 엑스보 개발사에 따르면, 버그 바운티 프로그램을 통해 현재까지 130건의 취약점이 해결됐으며, 303건은 ‘분류 완료(Triaged)’ 상태로 등록됐다.

엑스보의 보안 책임자 니코 와이스만은 최근 블로그 게시물에서 “엑스보가 발견한 취약점 중 약 45%는 아직 해결되지 않고 있다. 이 수치는 실제 운영 중인 시스템을 대상으로 제출된 리포트의 양과 영향력을 보여주는 지표”라고 설명했다.

엑스보 개발사는 AI 봇을 상용화하기 전 엄격한 벤치마킹 과정을 거쳤다고 밝혔다. 초기에는 포트스위거(PortSwigger), 펜테스터랩(PentesterLab) 같은 플랫폼에서 제공하는 CTF(Capture The Flag) 챌린지를 통해 봇의 성능을 검증했다. 이후에는 실제 환경을 시뮬레이션한 자체 벤치마크를 구축해 테스트를 이어나갔다. 또한 AI에 오픈소스 프로젝트의 소스코드 접근 권한을 부여해 화이트박스 방식의 침투 테스트를 수행하며 제로데이 취약점 탐지 역량도 검증했다.

이후 엑스보는 해커원에서 운영하는 공개 및 비공개 버그 바운티 프로그램에 자사 AI 봇을 직접 투입해 ‘도그푸딩(dogfooding)’ 테스트를 시작했다. 와이스만은 “엑스보를 외부 연구원처럼 다뤘다. 내부 정보나 특혜 없이, 오직 엑스보 스스로 동작하도록 했다”라고 설명했다. 기술을 더 정교하게 다듬기 위해, 회사는 ‘밸리데이터(validators)’라는 자동화된 검토 시스템도 개발했다. 이 시스템은 AI가 발견한 각 취약점을 자동으로 검증하는 동료 리뷰어 역할을 수행한다.

엑스보의 해커원 참여는 커뮤니티가 던진 질문에 직접 행동으로 응답한 결과였다. 와이스만은 “커뮤니티에서 제기된 핵심 질문은 ‘엑스보가 실제 블랙박스 환경에서 얼마나 잘 작동할 수 있을까?’였다. 이 도전을 받아들였고, 취약점을 직접 검증하고 분류하는 기업이 궁극적인 심판 역할을 하는 해커 생태계 최대 규모의 무대에 참여하기로 했다”라고 설명했다.

기존의 대응 방식 재고해야 할 시점

엑스보가 인간 레드팀 해커를 빠르게 앞서는 가운데, 방어자는 여전히 AI 기반의 빠른 공격 속도를 따라잡지 못하고 있다.

인포테크 리서치 그룹의 기술 자문역 에릭 아바키안은 “해커는 더욱 빠르게 움직이고 더 강하게 공격하며, 그 어느 때보다 정밀하게 목표를 겨냥할 수 있는 새로운 도구를 빠르게 받아들이고 있다”라고 말했다.

아바키안은 자동화 시스템이 대규모 공격을 수행할 뿐 아니라, 음성·영상·이메일 등 매우 그럴듯한 가짜 콘텐츠까지 만들어내고 있다며, “진짜와 가짜의 경계를 흐리게 만들고 있다”라고 지적했다. 이 같은 변화는 단순한 진보가 아니라 “능력의 도약”에 가깝다고 표현했다.

아바키안은 “보안팀은 더 이상 키보드 뒤에 있는 개인 해커만을 상대하는 게 아니다. 이제는 거의 실시간으로 취약점을 탐색하고, 공격하고, 전략을 바꿀 수 있는 시스템 혹은 팀 전체와 싸우는 상황”이라고 경고했다.

보서론 시큐리티의 시플리는 “취약점 탐지와 활용 속도가 더 빨라질수록 데이터 유출, 랜섬웨어 공격, 중요 인프라 마비 같은 피해도 더 자주 발생할 것”이라며 취약점 탐지 자동화가 역설적으로 또 다른 위험을 불러올 수 있다고 지적했다.

결국 이 흐름은 이미 매우 어려운 상황에 처한 방어자에게 더 큰 압박을 가할 수 있다. 시플리는 “현재도 여전히 방어자가 소프트웨어 패치 수요를 따라가지 못하고 있다. 이 같은 위협에 대한 장기적 해법은 미국 바이든 행정부가 내놨던 사이버보안 행정명령이지만, 이후 트럼프 행정부에 의해 사실상 무력화됐다”라고 아쉬움을 드러냈다.

이처럼 급변하는 환경 속에서 보안 담당자는 기존의 대비 방식을 근본적으로 재검토해야 한다. 아바키안은 “수동 모니터링이나 전통적인 도구로는 충분하지 않다. 모든 엔터프라이즈 환경 계층에서 기계 수준의 속도로 탐지하고 대응할 수 있는 도구를 갖춘 파트너 및 벤더와 협력하는 것이 필수적”이라고 조언했다.

보안 도구뿐 아니라 체계적인 구조도 필요하다. 아바키안은 “명확한 정책과 위험 대응 절차가 포함된 보안 로드맵을 갖추는 것이 중요하다. 교육 역시 그에 못지않게 핵심적인 요소”라고 강조했다.

이어 아바키안은 “신기술이 어떻게 작동하는지, 그리고 공격자가 이를 어떻게 활용하는지 이해하는 보안팀일수록 더욱 빠르고 자신 있게 대응할 수 있을 것이다. 변화는 먼 미래의 일이 아니라 이미 현실이 됐다”라고 덧붙였다.

dl-itworldkorea@foundryco.com