AI의 보안 패치 분석 및 공격 코드 생성 가속화 연구
앤스로픽 연구팀이 거대 언어 모델을 활용해 보안 패치를 공격 코드로 전환하는 속도를 측정했습니다. 연구 결과, 기존 보안 대응 체계의 근본적인 변화가 필요한 것으로 나타났습니다.
주장앤스로픽 보안 연구팀은 거대 언어 모델이 알려진 취약점을 악용하는 속도를 체계적으로 측정했습니다. 이번 연구는 기존의 보안 패치 전략이 전제했던 시간적 가정을 뒤흔듭니다.
팩트앤스로픽 연구에 따르면, 전문 지식이 없는 사용자도 수천 달러의 비용과 수 시간의 작업만으로 한 달 치 보안 패치를 공격 코드로 전환합니다. 과거에는 이러한 역공학 작업에 수주 이상의 시간이 필요했습니다.
팩트연구진은 파이어폭스의 자바스크립트 엔진인 스파이더몽키의 보안 패치 18개를 대상으로 성능을 검증했습니다. 미토스 프리뷰 모델은 12분 만에 첫 번째 취약점을 발견했고, 40분 이내에 13개를 추가로 찾아냈습니다.
교차검증파이어폭스는 자동 업데이트를 지원하며 업데이트 주기가 짧은 환경입니다. 그럼에도 AI 모델의 공격 코드 생성 속도를 방어하기에는 역부족이었으며, 이는 업데이트 주기가 긴 소프트웨어가 더 큰 위험에 노출되었음을 시사합니다.
팩트윈도우 커널 취약점 21개를 대상으로 한 테스트에서 미토스 프리뷰 모델은 6시간 이내에 18개를 발견했습니다. 특히 관리자 권한을 탈취하는 공격 체인 8개를 성공적으로 구축했으며, 이 과정에 1만 5,700달러의 비용이 발생했습니다.
교차검증마이크로소프트가 악용 가능성이 낮다고 분류한 취약점조차 AI 모델은 14개 중 13개를 성공적으로 공략했습니다. 이는 인간 보안 연구자 중심의 기존 위험 평가 체계가 AI 시대에 유효하지 않음을 의미합니다.
팩트윈도우 오토패치를 사용해도 90%의 기기가 패치를 적용하는 데 7일이 소요됩니다. 미토스 프리뷰가 생성한 8개의 공격 체인은 패치가 실제 기기에 적용되기 훨씬 전에 완성되었습니다.
주장앤스로픽은 기존의 엔데이(N-Day) 취약점 개념을 엔아워(N-Hour)로 재정의해야 한다고 강조합니다. 패치 공개 후 공격까지 걸리는 시간이 획기적으로 단축되었기 때문입니다.
주장보안 대응의 패러다임 전환이 시급합니다. 공격 속도가 빨라진 만큼 방어 전략도 근본적으로 수정해야 합니다.
교차검증이번 연구는 보안 필터가 해제된 모델을 기준으로 수행되었습니다. 그러나 공개된 모델들도 유사한 능력을 갖추고 있어 잠재적인 공격자 풀이 넓어지고 있습니다.
주장근본적인 해결책은 패치 속도 향상보다 버그 발생 원인을 줄이는 일입니다. 러스트(Rust)와 같은 메모리 안전 언어를 도입하거나 하드웨어 수준의 보호 기능을 강화하는 방안이 지속 가능합니다.
출처앤스로픽의 연구 결과는 더 디코더(The Decoder) 보도를 통해 교차 검증했습니다. (https://the-decoder.com/anthropic-study-shows-ai-needs-hours-not-weeks-to-build-exploits-from-security-patches/)
본 기사는 전문가의 분석과 공개 자료를 기반으로 AI가 작성 후 다른 AI의 검증을 거쳐 작성됐으며 정보의 정확성과 완전성을 보장하지 않습니다. 기사 내용은 특정 투자·의사결정의 권유가 아니며, Wittgenhaus는 이를 근거로 한 행위의 결과에 책임을 지지 않습니다.
