[단독] AI가 'MS 보안취약점' 수초만에 찾았다

소스코드도, 개발 문서도 없었다. 오직 실행 파일 하나뿐이었다. 파일을 올리고 게이지가 0%에서 100%까지 가득 차기까지 3~4초면 충분했다. 무려 10개의 보안 취약점이 확인됐다. 치명적인 제로데이 취약점까지 발견됐다.

앤트로픽의 인공지능(AI) 모델 '미토스' 등장으로 보안 위협이 높아진 가운데 전자신문이 보안기업 스틸리언과 함께 AI 기반 취약점 분석 솔루션 '디퓨토'를 활용해 마이크로소프트(MS) 윈도 커널 바이너리(기계어)를 분석했다. 시연 결과 실제 취약점 분석이 수 초 만에 이뤄지는 것을 확인했다.

취약점 분석 대상인 커널은 윈도 운용체계(OS)에서 가장 높은 권한을 가진 핵심 영역이다. 모든 프로그램과 하드웨어 제어가 이 계층을 통해 이뤄진다. 공격당할 경우 시스템 최고 권한이 탈취될 수 있는 구조다. AI가 이런 핵심 영역의 취약점까지 파악한 것이다.

이번 취약점 분석은 소스코드를 직접 입력하는 '화이트박스' 환경이 아닌 실행 파일만 입력하는 '블랙박스' 환경으로 진행한 것이 특징이다. 누구에게나 알려진 오픈소스 기반 환경이 아닌, 소스코드가 비공개된 일반적인 소프트웨어(SW) 운영 환경을 고려한 조건에서도 AI가 위협적이라는 것을 보여줬다.

시연에선 아직 외부에 공개되지 않은 미토스가 아닌 이미 서비스 중인 범용 AI 모델 클로드, 챗 GPT 등을 활용했다. 이를 통해 핵심 취약점을 발견했다는 것은 미토스 이전 세대 AI도 이미 취약점 분석에서 위협적인 성능을 내고 있다는 것을 의미한다.

손주환 스틸리언 연구소장은 “미토스 AI가 숨겨진 취약점을 순식간에 찾아낸다는 점에서 많은 주목을 받았지만 미토스 이전부터 이 같은 AI를 이용한 취약점 분석은 충분히 가능했다”면서 “그만큼 AI 보안 위협이 우리 곁에 상당히 가깝게 다가온 것”이라고 설명했다.

AI는 '제로데이'와 같은 의미 있는 취약점도 순식간에 발견했다. 디퓨토는 분석 시연에서 크리티컬(Critical) 1건, 하이(High) 4건, 미디엄(Medium) 4건, 로우(Low) 1건 등 총 10건의 취약점을 찾아냈다. 크리티컬로 분류된 취약점은 기존에 발견되지 않은 제로데이에 해당했다. 이는 AI가 제로데이 공격 포인트를 수 초 혹은 최대 한 시간 이내에 찾아낼 수 있다는 것을 뜻한다.

김휘강 고려대 교수는 “과거에도 취약점 진단 도구는 있었지만 AI는 더 많은 취약점을 빠르게 찾을 수 있도록 성능이 높아지고 있다”며 “기업은 보안 위협에 AI를 적극 활용하는 동시에 AI가 찾아낸 취약점 혹은 공격의 오탐을 가려낼 전문가도 확보해야 한다”고 말했다.

김 교수는 “나아가 기업이 외부 연구자들과 보안 분야에서 공조하는 '협력적 취약점 공개(CVD)' '취약점 공개 프로그램(VDP)'이 활성화되도록 정부가 제도를 개선해야 한다”며 “보안 투자 확대에 대한 인센티브도 확대가 필요하다”고 덧붙였다.

박진형 기자 jin@etnews.com