[ET단상] AI 공격 시대, '가끔 점검'은 보안이 아니다

이성권 엔키화이트햇 대표
이성권 엔키화이트햇 대표

매달 둘째 주 화요일, 마이크로소프트(MS)를 비롯한 주요 기업들이 보안 패치를 한꺼번에 발표한다. 이른바 '패치 화요일'이다. 보안업계는 오랫동안 그 다음 날을 '익스플로잇 수요일'이라 불러왔다. 패치가 공개되면 공격자가 이를 역설계해 취약점을 분석하고 공격 코드를 준비하는 데 보통 하루 정도 걸린다는 전제에서 나온 표현이다.

지난 6월 MS가 발표한 정기 보안 업데이트에는 200개 안팎의 취약점이 포함됐다. 2003년 패치 화요일 제도가 도입된 이후 최대 규모다. 보안팀은 이제 한 달에 수십개가 아니라, 한 번에 200개 가까운 취약점 목록을 받아 들고 무엇부터 막아야 할지 판단해야 한다.

하루 안에 이를 모두 고칠 수 있는 조직은 거의 없다. 해당 취약점이 자사 시스템에 존재하는지, 외부에 노출된 자산인지, 패치 이후 장애가 발생하지는 않는지부터 확인해야 한다. 제조·금융·공공·의료처럼 시스템 중단이 어려운 산업은 상황이 더 어렵다. 모든 취약점을 같은 무게로 다룬다면 보안팀은 금세 마비된다.

패치가 폭증한 배경에는 인공지능(AI)이 있다. 앤트로픽은 지난 4월 자사의 신형 모델 '미토스 프리뷰'가 주요 운용체계(OS)와 웹브라우저에서 수천건의 고위험 취약점을 찾아냈다고 발표했다. 발견 당시 대부분은 아직 패치되지 않은 상태였다.

한 달 뒤에는 자사와 약 50개 파트너사가 함께 1만건 이상의 고위험·치명적 취약점을 찾아냈다고 밝혔다. MS는 이 과정에 참여한 뒤 취약점 발견부터 공격자의 실제 악용까지의 시간 간격이 무너지고 있다고 경고했다. 과거에는 몇 달이 걸리던 일이 이제는 AI를 통해 몇 분 안에 가능해졌다는 것이다.

문제는 발견 속도만 빨라진 것이 아니라 공격 코드 생성 속도도 함께 빨라졌다는 점이다. 패치 공개 후 첫 공격까지 걸리는 시간이 과거 수백 일에서 최근에는 시간 단위로 줄었다는 분석도 나온다. 화요일에 패치가 나오면, 수요일이 아니라 화요일 당일에 공격이 시작될 수 있는 환경이 된 셈이다. 패치 숫자는 늘고, 고칠 시간은 줄어들고 있다.

이제 필요한 질문은 “언제 200개를 모두 고칠 것인가”가 아니다. “이 중 오늘 실제 침해로 이어질 수 있는 것은 무엇인가”를 물어야 한다. 위험 점수가 높더라도 내부망에 갇혀 있고 인증 장벽이 있는 취약점보다, 점수는 낮아도 인터넷에 노출돼 있고 공격 코드가 공개된 취약점이 더 시급할 수 있다. 보안은 이제 '취약점이 존재하는가'를 넘어 '우리 환경에서 실제 공격으로 이어지는가'를 확인해야 한다.

이 같은 문제의식에서 나온 개념이 지속 위협 노출 관리(CTEM)이다. 가트너가 2022년 제시한 CTEM은 보안을 '한 번 점검하고 끝내는 일'이 아니라 '계속 측정하고 줄여나가는 순환 과정'으로 본다.

CTEM이 패치를 대신하는 것은 않는다. 200개 취약점을 자동으로 고쳐주는 마법도 아니다. 다만 무엇부터 고쳐야 하는지 판단하게 한다. 보호할 범위를 정하고, 노출된 자산을 찾고, 공격 가능성이 높은 위험을 추려낸다. 이어 실제로 뚫리는지 검증하고, 필요한 조치로 연결한다.

이 과정에서 가장 중요하지만 자주 빠지는 단계가 검증이다. 취약점 스캔 결과와 패치 목록은 가능성만 알려준다. 실제로 뚫리는지는 공격자 관점에서 확인해야 한다. 사람이 수행하는 모의해킹은 정밀하지만 범위와 주기에 한계가 있다. 기업 정보기술(IT) 환경은 매일 바뀌는데, 검증 결과가 반년 전 상태에 머물러 있다면 현재의 위험을 제대로 설명하기 어렵다.

AI 화이트해커는 이 한계를 보완한다. 새 취약점이 공개될 때마다, 시스템 구성이 바뀔 때마다 검증을 다시 수행할 수 있다. 공격자가 AI를 활용해 패치를 짧은 시간 안에 무기화한다면, 방어자도 같은 시간 안에 그 약점이 우리 시스템에서 실제로 통하는지 확인해야 한다.

패치 200개가 한꺼번에 쏟아지고, 공격자는 그중 일부를 몇 시간 안에 골라 실제 공격에 활용하는 시대다. 방어 역시 더 이상 정해진 일정표에만 의존할 수 없다. 가끔 한 번 받는 정밀검진보다 매일 반복하는 점검과 검증이 더 중요해졌다. 보안의 시계를 공격의 시계에 맞추는 일, 그것이 지금 우리에게 주어진 과제다.

이성권 엔키화이트햇 대표 sklee@enki.co.kr