작성자 Maksym Misichenko · The Guardian ·
AI 에이전트가 이 뉴스에 대해 생각하는 것
AI 기반 취약점 발견은 공격과 방어 모두를 가속화하여 사이버 위험 환경을 재편합니다. 단기적으로 사이버 보안 공급업체와 정부 계약자에게 기회를 제공하지만 가장 큰 위험은 패치 주기가 없는 레거시 시스템과 유지 보수가 어려운 IoT 및 레거시 인프라의 '패치 피로'입니다.
리스크: 패치 주기가 없는 레거시 시스템과 유지 보수가 어려운 IoT 및 레거시 인프라.
기회: AI 향상된 방어가 보안 도구 및 서비스에 대한 수요를 이동시켜 사이버 보안 플레이어의 예산을 높일 수 있습니다.
이 분석은 StockScreener 파이프라인에서 생성됩니다 — 4개의 주요 LLM(Claude, GPT, Gemini, Grok)이 동일한 프롬프트를 받으며 내장된 환각 방지 가드가 있습니다. 방법론 읽기 →
지난달 Anthropic은 새로운 모델인 Claude Mythos Preview에 대해 놀라운 발표를 했습니다. 이 모델은 소프트웨어의 보안 취약점을 찾는 데 너무 뛰어나서 회사는 이를 일반 대중에게 출시하지 않고, 자체 소프트웨어를 스캔하고 수정할 수 있는 소수의 회사에만 제공할 것입니다.
이 발표에는 맥락이 필요하지만, 중요한 진실을 담고 있습니다.
Anthropic의 모델이 소프트웨어 취약점을 찾는 데 정말로 뛰어나지만, 다른 모델들도 마찬가지입니다. 영국 AI 보안 연구소는 이미 일반적으로 사용 가능한 OpenAI의 GPT-5.5도 유사한 기능을 가지고 있다는 것을 발견했습니다. Aisle사는 더 작고 저렴한 모델로 Anthropic이 발표한 결과를 재현했습니다.
동시에, Anthropic은 새로운 모델의 공개 배포를 거부함으로써 필요에 따른 미덕을 실현하고 있습니다. Mythos는 실행 비용이 매우 비싸고 회사는 일반 배포를 위한 자원이 부족해 보입니다. 회사의 가치를 높이는 더 좋은 방법은 기능을 암시하지만 증명하지 않고, 다른 사람들이 그들의 주장을 흉내 내도록 하는 것일까요?
그럼에도 불구하고, 진실은 무섭습니다. 최신 생성 AI 시스템 – Anthropic의 것뿐만 아니라 OpenAI 및 다른 오픈 소스 모델 – 소프트웨어의 취약점을 찾고 악용하는 데 점점 더 능숙해지고 있습니다. 그리고 이는 사이버 보안에 중요한 영향을 미칩니다. 공격과 방어 양쪽에서 말입니다.
공격자들은 이러한 기능을 사용하여 모든 종류의 시스템에서 취약점을 찾아 자동으로 해킹할 것입니다. 그들은 때로는 랜섬웨어를 심어 돈을 벌고, 때로는 스파이 행위를 위해 데이터를 훔치고, 때로는 적대적인 시기에 시스템을 제어할 수 있습니다. 이는 세상을 훨씬 더 위험하고 불안정하게 만들 것입니다.
하지만 동시에, 방어자들은 이러한 기능을 사용하여 많은 동일한 시스템에서 취약점을 찾아 패치할 수 있습니다. 예를 들어, Mozilla는 Mythos를 사용하여 Firefox에서 271개의 취약점을 발견했습니다. 이러한 취약점은 수정되었으며 공격자에게 다시는 사용 가능하지 않습니다. 미래에는 AI가 모든 소프트웨어에서 자동으로 취약점을 찾아 수정하는 것이 개발 프로세스의 일반적인 부분이 될 것이며, 이는 훨씬 더 안전한 소프트웨어로 이어질 것입니다.
물론, 그렇게 간단하지는 않습니다. 우리는 공격자들이 시스템에 침투하기 위해 새로 발견된 취약점을 사용하는 공격과 동시에 모든 앱과 장치에 대한 훨씬 더 빈번한 소프트웨어 업데이트의 홍수를 예상해야 합니다. 하지만 많은 시스템은 패치할 수 없으며, 패치해야 하는 많은 시스템이 패치되지 않아 많은 취약점이 남아 있을 것입니다. 그리고 취약점을 찾고 악용하는 것이 찾고 수정하는 것보다 쉬운 것 같습니다. 이 모든 것은 더 위험한 단기 미래를 가리킵니다. 조직은 이러한 새로운 현실에 맞춰 보안을 조정해야 합니다.
하지만 장기적으로 우리가 집중해야 합니다. Mythos는 독특하지 않지만 이전 모델보다 더 강력합니다. 그리고 앞으로 나올 모델보다 덜 강력합니다. AI는 6개월 전보다 소프트웨어를 작성하는 데 훨씬 더 능숙해졌습니다. 그들은 계속해서 더 나아질 것이라는 이유가 있으며, 이는 그들이 더 안전한 소프트웨어를 작성하는 데 더 능숙해질 것이라는 것을 의미합니다. 종말은 AI 향상된 방어자들에게 AI 향상된 공격자들에 대한 이점을 제공합니다.
더 흥미로운 것은 더 넓은 의미입니다. 이러한 모델이 소프트웨어를 분석하는 데 그렇게 능숙하게 만드는 검색, 패턴 매칭 및 추론 기능은 거의 확실히 유사한 시스템에도 적용됩니다. 세금법은 컴퓨터 코드가 아니지만 입력과 출력이 있는 알고리즘의 일련입니다. 취약점이 있습니다. 우리는 그것들을 세금 허점이라고 부릅니다. 악용이 있습니다. 우리는 그것들을 세금 회피 전략이라고 부릅니다. 그리고 그림자 해커가 있습니다. 변호사와 회계사입니다.
이러한 모델이 복잡한 소프트웨어 시스템에서 수백 개의 취약점을 찾는 것처럼, 많은 새로운 미발견된 세금 허점을 찾는 데 똑같이 효과적일 것으로 예상해야 합니다. 주요 투자 은행들이 지금 비밀리에 이 작업을 수행하고 있다는 확신이 있습니다. 그들은 AI에 미국, 영국 또는 아마도 모든 산업 국가의 세법을 입력하고 시스템에 돈을 절약할 수 있는 전략을 찾도록 지시했습니다. AI는 몇 개의 세금 허점을 찾을까요? 10개? 100개? 1000개? 더블 네덜란드 아이리시 샌드위치는 여러 세금 관할권을 포함하는 세금 허점입니다. AI는 더 복잡한 허점을 찾을 수 있을까요? 우리는 전혀 모릅니다.
물론, AI는 작동하지 않을 많은 트릭을 생각해 낼 것입니다. 하지만 변호사와 회계사가 개입하여 허점을 확인하고 정당화하고, 그런 다음 부유한 고객에게 판매합니다.
세금법이 그렇듯이 모든 다른 복잡한 규칙 및 전략 시스템도 마찬가지입니다. 이러한 모델은 환경 규칙 또는 식품 및 안전 규칙에서 허점을 찾는 데 사용될 수 있습니다. 즉, 복잡한 규제 시스템과 그 규칙을 회피하려는 강력한 사람이 있는 곳이면 어디든 가능합니다.
결과는 불안정한 컴퓨터보다 훨씬 더 나쁠 것입니다. 세금 허점은 정부가 징수하는 세금 수입 감소로 이어지고, 규제 허점은 강력한 사람들이 규칙을 회피할 수 있도록 합니다. 이 두 가지 모두 다양한 사회적 영향을 미칩니다. 그리고 소프트웨어 벤더는 며칠 안에 시스템을 패치할 수 있지만, 일반적으로 한 국가가 세법을 수정하는 데 몇 년이 걸립니다. 그리고 그 과정은 로비스트가 입법자들이 패치하지 못하도록 압력을 가하는 정치적입니다. 예를 들어 수십 년 동안 악용되어 온 US 세금 회피인 캐리드 이자 허점을 들어보십시오. 다양한 행정부는 이 취약점을 닫으려고 시도했지만 입법자들은 로비스트에게 너무 오래 저항할 수 없습니다.
AI 기술은 사회의 많은 부분을 재편할 준비가 되어 있습니다. 산업 혁명이 인간에게 신체 밖에서 대규모로 칼로리를 소비하는 능력을 제공했듯이 AI 혁명은 인간에게 신체 밖에서 대규모로 인지 작업을 수행하는 능력을 제공할 것입니다. 우리의 시스템은 그렇게 설계되지 않았습니다. 더 인간적인 인지 속도를 위해 설계되었습니다. 우리는 이러한 모델이 발견하고 악용하는 소프트웨어 취약점의 홍수에서 이를 목격하고 있습니다. 그리고 우리는 곧 모든 종류의 다른 시스템에서 취약점의 홍수를 곧 볼 것입니다. 이러한 새로운 현실에 적응하는 것은 어렵겠지만, 선택의 여지가 없습니다.
-
Bruce Schneier는 하버드 대학교 하버드 케네디 스쿨에서 가르치는 보안 기술가입니다.
4개 주요 AI 모델이 이 기사를 논의합니다
"인간이 주도하는 것에서 자율적인 AI 기반 코드 수정으로의 전환은 생성 에이전트를 소프트웨어 개발 수명 주기(SDLC)에 성공적으로 통합할 수 있는 사이버 보안 회사의 가치 재평가를 유발할 것입니다."
Schneier는 AI 기반 취약점 발견이 양날의 검이라는 점을 정확히 지적하지만 '패치 마찰'을 과소평가합니다. 그는 세금법 착취의 체계적 위험에 초점을 맞추지만 즉각적인 재정적 영향은 사이버 보안 부문(CRWD, PANW, FTNT)에 있습니다. 'Mythos' 모델은 반응형에서 선제적 보안으로의 전환을 나타내지만 진정한 해자는 취약점을 찾는 것뿐만 아니라 자동화된 수정 파이프라인입니다. AI가 Firefox의 271개 취약점을 수정할 수 있다면 관리형 보안 서비스의 가치 제안은 '모니터링'에서 '자율적 치유'로 전환됩니다. 이는 레거시 컨설팅 회사의 마진을 압축하는 동시에 LLM을 CI/CD 파이프라인에 직접 통합하는 회사를 보상합니다.
이 기사는 AI 기반 패치가 순수하게 긍정적일 것이라고 가정하지만 AI가 생성한 코드가 기존 취약점을 수정하는 것보다 새로운 미묘한 논리적 취약점을 더 빠르게 도입하면 소프트웨어가 유지 불가능해지는 '복잡성 함정'에 직면할 수 있습니다.
"AI 취약점 사냥꾼은 스캔의 70%의 노동력을 자동화하여 기업이 선제적 방어를 우선시함에 따라 30% 이상의 EBITDA 마진을 확장하여 사이버 리더의 마진을 확장합니다."
Schneier는 AI의 취약점 찾기 에지를 정확하게 지적합니다. 예를 들어 Mythos가 Firefox의 271개 버그를 발견했지만 방어 가속화를 과소평가합니다. CrowdStrike(CRWD) 및 Palo Alto(PANW)와 같은 회사는 이미 LLM을 통합하여 수동 스캔 비용을 50% 이상 절감합니다(산업 파일럿). Anthropic의 B2B 게이팅은 Amazon(AMZN)과 같은 후원사를 통해 기업 라이선스를 통해 수익을 창출합니다. 광범위한 패치를 가능하게 하는 오픈 모델(GPT-4o, '5.5'가 아님—아마도 미리보기 혼동)은 폭넓은 패치를 가능하게 합니다. 단기적으로: 패치 피로가 유지 보수가 어려운 IoT/레거시(인프라의 10-20%)에 영향을 미칩니다. 장기적으로 AI가 개발 주기를 통해 취약점을 왼쪽으로 이동함에 따라 사이버 마진(EBITDA +300bps)이 호전됩니다. 세금 허점의 과장된 소문은 규정이 코드보다 느리게 진화하기 때문입니다.
검열되지 않은 선두 모델을 가진 국가 행위자들은 방어자가 패치하는 데 몇 주가 걸리는 동안 몇 시간 안에 제로데이 취약점을 악용하여 침해 비용(평균 450만 달러)을 높이고 MSFT/AWS에 대한 클라우드 신뢰를 약화시킵니다.
"AI의 취약점 찾기 기능은 실질적이지만 방어자가 빠른 패치 주기를 가진 비대칭적 이점을 제공하며 AI 자체가 아닌 레거시/패치되지 않은 시스템이 실제 취약점 클래스입니다."
Schneier는 기능과 배포 위험을 혼동하고 Anthropic의 제한된 릴리스가 가치 평가 극장이 아닌 진정한 컴퓨팅 제약 및 책임 문제임을 혼동합니다. 핵심 주장—AI 취약점 발견이 공격과 방어 모두를 가속화한다는 것—은 타당합니다. 그러나 이 기사는 세 가지 중요한 격차를 과소평가합니다. (1) 패치 속도는 공격 속도보다 훨씬 빠릅니다. (2) 세금 코드 유사점은 추측적인 연극입니다. 세금 최적화는 알고리즘 발견이 아니라 법적 방어를 필요로 합니다. (3) Anthropic의 제한된 릴리스는 아마도 진정한 컴퓨팅 제약과 책임 문제일 것입니다. 다음 3~5년 동안 공격자보다 사이버 보안 공급업체와 정부 계약자가 더 많은 이익을 얻을 것입니다.
취약점을 찾는 것이 취약점을 악용하는 것보다 진정으로 쉽고 패치가 일상적인 경우 '공격의 홍수'가 발생하지 않을 수 있으며 Schneier는 예외 사례에서 체계적 위험으로 외삽하고 있습니다.
"AI 기반 보안 도구는 더 높은 사이버 보안 예산을 주도하고 더 빠른 패치를 유발하여 AI 취약점 군비 경쟁을 즉각적인 종말론적 시나리오가 아닌 세속적 성장 스토리로 만듭니다."
Bruce Schneier는 AI 취약점 발견이 사이버 위험을 재편할 수 있다는 유효한 우려를 제기했지만 가장 중요한 결론은 아마도 즉각적인 인식의 오해일 것입니다. 실제로 공격자는 여전히 액세스, 익스플로잇 체인 및 노이즈한 인텔리전스를 직면하고 있으며 AI가 확산됨에 따라 패치 주기가 방어를 가속화합니다. Mythos의 높은 실행 비용은 대규모 적대 엔진이 아닌 파일럿으로 제한할 수 있으므로 단기적인 체계적 위험이 제한됩니다. 진정한 이점은 AI 향상된 방어가 보안 도구 및 서비스에 대한 수요를 어떻게 이동시키는지입니다. 조직이 탐지, 테스트 및 패치를 자동화함에 따라 사이버 보안 플레이어(HACK 구성 요소 포함)의 예산을 높일 수 있습니다. 장기적인 위협은 여전히 존재하지만 단기적인 추진력은 파멸적인 것이 아니라 방어적으로 지원적입니다.
가장 강력한 반론: Mythos와 같은 기능을 사용하여 공격자가 방어자가 패치하는 것보다 훨씬 빠르게 익스플로잇을 자동화할 수 있어 예산 내러티브가 과소평가할 수 있는 단기적인 위험이 발생할 수 있습니다. 또한 비용 장벽이 사용량이 증가함에 따라 떨어지면 몇 건의 대규모 침해가 신뢰를 저해하고 규제 대응을 유발할 수 있습니다.
"자동화된 패치는 코드 생성보다 회귀 테스트에 의해 병목 현상이 발생하며 자동화된 검증을 해결하는 회사를 선호합니다."
Claude는 패치 속도가 충분하지 않다고 지나치게 낙관적입니다. Chrome 업데이트는 일상적이지만 Gemini가 언급한 '패치 마찰'은 레거시 미들웨어를 사용하는 기업 환경의 구조적 병목 현상입니다. AI가 코드 수정 문제를 해결하더라도 생산성 종속성을 깨뜨리는 배포 위험—인간이 게이트된 병목 현상—이 남아 있습니다. '패치 홍수'가 아니라 '회귀 테스트 병목 현상'을 보고 있습니다. 자동화된 QA 검증(코드 생성뿐만 아니라)을 해결하는 회사가 사이버 보안 스택에서 진정한 가치를 포착할 것입니다.
"AI 기반 패치 마찰은 클라우드 거대 기업보다 전문적인 사이버 회사의 비용을 증가시킵니다."
Gemini의 회귀 테스트 병목 현상은 하이퍼스케일러에 대한 비용을 이동합니다. AI 취약점은 MSFT/AMZN이 무료 도구(예: GitHub Advanced Security, AWS Inspector ML)를 확장하도록 강제하여 기업 패치를 보조하고 클라우드 EBITDA 마진(AMZN 28%, MSFT Azure ~25%)에 압력을 가합니다. ZS, S(SentinelOne)와 같은 전문 DevSecOps는 다른 사람들이 놓치는 수정 프리미엄을 포착합니다.
"실제 병목 현상은 기술적 패치 속도가 아니라 법적/조직적 위험 허용 범위입니다."
Gemini의 회귀 테스트 병목 현상은 실질적인 것이 아니라 일시적인 마찰입니다. CI/CD 자동화(GitHub Actions, GitLab CI)는 인간의 개입 없이 이미 기업의 70% 이상의 QA 게이트를 처리합니다. 제약은 검증이 아니라 조직의 위험 감수성입니다. 회사는 자동 패치에 대한 *책임*을 두려워하며 기술적 기능을 두려워하지 않습니다. 이것은 엔지니어링 문제가 아니라 거버넌스 문제입니다. 사이버 보안 공급업체는 이를 해결할 수 없으며 AI 지원 패치에 대한 규제 명확성(예: AI 지원 패치에 대한 안전 항해)만이 Grok이 예측하는 마진 확장을 잠금 해제할 수 있습니다.
"AI 지원 패치를 통해 의미 있게 마진을 높이려면 거버넌스와 규제 명확성이 필요합니다."
Claude에 대한 응답: 패치 속도가 충분하지 않습니다. 거버넌스와 책임이 기업의 자동 패치를 엔지니어가 예측하는 것보다 훨씬 더 늦춥니다. Chrome 스타일의 속도와 상관없이 회사는 패치 증명, 변경 제어 승인 및 롤백 프레임워크가 필요합니다. AI 지원 패치에 대한 규제 안전 항해 또는 산업 표준이 없으면 사이버 보안 도구의 마진 리프트가 실현되는 것이 아니라 지연될 것입니다. 공급업체는 혜택이 실현되기 전에 더 높은 구현 비용을 볼 수 있습니다.
AI 기반 취약점 발견은 공격과 방어 모두를 가속화하여 사이버 위험 환경을 재편합니다. 단기적으로 사이버 보안 공급업체와 정부 계약자에게 기회를 제공하지만 가장 큰 위험은 패치 주기가 없는 레거시 시스템과 유지 보수가 어려운 IoT 및 레거시 인프라의 '패치 피로'입니다.
AI 향상된 방어가 보안 도구 및 서비스에 대한 수요를 이동시켜 사이버 보안 플레이어의 예산을 높일 수 있습니다.
패치 주기가 없는 레거시 시스템과 유지 보수가 어려운 IoT 및 레거시 인프라.