AI의 보안 패치 역공학을 통한 90일 공개 원칙 붕괴

주장인공지능 기술이 고도화되면서 보안 취약점 공개를 위한 기존의 90일 유예 기간이 더 이상 안전을 보장하지 못합니다. 공격자는 인공지능을 활용해 패치를 즉각 분석하고 공격 코드를 생성하므로 보안 담당자의 대응 시간은 사실상 사라졌습니다.

팩트보안 전문가 히만슈 아난드는 인공지능이 보안 패치를 공격 코드로 변환하는 데 단 30분밖에 소요되지 않는다고 밝혔습니다. 과거 숙련된 역공학 전문가가 며칠씩 수행하던 작업을 인공지능이 수 분 내로 단축하면서 기존 보안 방어 체계의 근간이 흔들리고 있습니다.

교차검증기존의 보안 공개 모델은 취약점 발견자가 유일하며 패치 작성에 충분한 시간이 있다는 가정에 기반합니다. 그러나 인공지능을 사용하면 다수의 연구자가 동시에 동일한 취약점을 발견하고 공격자 또한 패치 배포 직후 이를 악용하므로 이러한 가정은 더 이상 성립하지 않습니다.

팩트리눅스 커널에서 발견된 카피 페일 취약점은 인공지능 스캔을 통해 단 1시간 만에 발견되었습니다. 해당 취약점은 2017년 이후의 거의 모든 리눅스 배포판에 영향을 미쳤으며 공개 직후 이란의 위협 행위자들이 서버 탈취 및 분산 서비스 거부 공격에 악용했습니다.

팩트더티 프래그 취약점 사례에서는 연구자가 5일간 비공개 협상을 진행했으나 제3자가 동일한 취약점을 독립적으로 발견해 공개하며 협약이 파기되었습니다. 이로 인해 배포판이 패치를 준비하기도 전에 공격이 시작되었으며 마이크로소프트 디펜더 팀이 이를 확인했습니다.

주장보안 소프트웨어 공급업체는 치명적인 버그를 일반적인 개발 주기 내에 처리하지 말고 즉각적인 비상사태로 간주해야 합니다. 보고 접수 즉시 대응을 시작해야 하며 관행적인 90일 대기 기간을 고수하는 것은 위험합니다.

교차검증관리자는 정기적인 유지보수 기간을 기다리지 말고 패치가 나오는 즉시 시스템에 적용해야 합니다. 다만 즉각적인 패치 적용은 시스템 안정성 테스트 부족이라는 위험을 초래할 수 있으므로 자동화된 검증 도구 도입이 필수적입니다.

주장개발 팀은 방어적인 관점에서 언어 모델을 보안 파이프라인에 통합해야 합니다. 패치 차이점을 자동으로 분석하고 의존성을 지속적으로 스캔하며 배포된 패치가 실제로 작동하는지 검증하는 과정을 자동화해야 합니다.

팩트히만슈 아난드는 클라우드플레어의 방화벽 보안 분석가이자 데프콘 해킹 대회에서 3회 연속 결선에 진출한 워터 패들러스 팀의 일원입니다. 그는 자신의 블로그를 통해 인공지능이 보안의 4가지 기본 가정을 어떻게 무너뜨리는지 실증적인 사례를 들어 설명했습니다.

출처더 디코더 및 히만슈 아난드 블로그를 통해 위 내용을 교차 검증했습니다.