Haedong

서울대학교공과대학

해동일본기술정보센터
모바일메뉴 열기/닫기
  • 정기간행물
  • 단행본서적
  • 기술보고서/백서
  • 커뮤니티
  • 센터소개
  • 일본 관련 사이트
    •

    일본산업뉴스요약

    AI가 10분만에 취약성을 공략하는 프로그램 생성 -- 보안 대책 재검토 불가피
    • 카테고리AI/ 로봇·드론/ VR
    • 기사일자 2025.9.17
    • 신문사 Nikkei X-TECH
    • 게재면 online
    • 작성자hjtic
    • 날짜2025-10-16 09:17:24
    • 조회수83

    AI가 10분만에 취약성을 공략하는 프로그램 생성
    보안 대책 재검토 불가피

    최근 잇따르고 있는 사이버 공격. 그 단서가 되고 있는 것이 주로 소프트웨어의 취약성(보안상의 결함)이다. 취약성이 발견되어 공개되면, 공격자는 취약성을 공략하는 프로그램(익스플로잇)을 작성해 공격한다.

    이 때문에 취약성 정보가 공개되면, 수정 프로그램(패치)을 적용하는 등, 취약성을 신속하게 해소하는 것이 중요한 보안 대책이 된다.

    하지만 생성 AI(인공지능)의 등장으로 이러한 대책이 한층 더 어려워질 전망이다. 지난 8월 하순, 2명의 보안 기술 연구자가 생성 AI를 이용해 익스플로잇을 생성하는 시스템을 구축. 10~15분만에 익스플로잇을 생성할 수 있었다고 한다. 이 두 연구자에 대한 자세한 정보는 공개되지 않았지만, 이스라엘의 연구자들이라고 알려져 있다.

    생성 AI를 이용해 익스플로잇을 자동 생성하는 시스템의 이름은 ‘Auto Exploit’. 불과 수 주 만에 구축되었다고 한다.

    보안 대책의 상식을 바꿀 것으로 보이는 Auto Exploit은 과연 어떤 시스템인 것일까?

    -- 절반은 공개 후 192일 이내에 악용 --
    어떤 취약성에 관한 정보가 공개되고 나서 악용되기까지의 시간은 해마다 짧아지고 있다. 보안 업체인 미국의 VulnCheck에 따르면, 2024년에 악용된 취약성의 절반은 공개된 후 192일 이내에 악용되었다고 한다.

    생성 AI를 활용하는 사례가 늘면서 앞으로 취약점 공개부터 악용까지의 시간은 더욱 짧아질 것으로 예상된다. 그것을 여실히 보여준 것이 이번 Auto Exploit이다.

    Auto Exploit의 흐름은 다음과 같다. 우선, 특정 소프트웨어에서 발견된 취약성의 정보(어드바이저리) 및 그 취약성을 수정하기 위한 패치를 프롬프트(지시·질문)와 함께 대규모언어모델(LLM)에 입력한다.

    그리고 생성된 익스플로잇을 취약한 버전의 소프트웨어와 패치 적용 후의 소프트웨어에 각각 시험해, 그 유효성을 조사한다.

    앞서 소개한 두 연구자들에 따르면, 생성 AI를 이용한 일반적인 코딩과 마찬가지로 첫 번째 시도에서 기대만큼의 익스플로잇을 얻을 확률은 매우 낮다고 한다. 그래서 그들은 익스플로잇의 유효성을 테스트한 결과를 피드백해 익스플로잇 생성 접근성을 개선하는 사이클을 돌렸다.

    통상적으로 SaaS(Software as a Service)의 LLM에는 익스플로잇 생성을 거부하는 가드레일이 갖추어져 있다. 공격자에 의한 악용을 막기 위해서이다. 그래서 두 연구자들은 로컬에서 동작하는 LLM인 ‘qwen3: 8b’와 ‘openai-oss: 20b’를 사용했다고 한다.

    이것들로 작성한 긴 프롬프트를 SaaS의 LLM에 적용하자, 거부하지 않고 익스플로잇을 생성. 다양한 SaaS를 시험해본 후, 가장 비용 대비 효과가 뛰어났던 Claude-sonnet-4.0을 채택했다고 한다.

    -- 지금까지의 정책은 과거의 것으로 --
    두 연구자가 Auto Exploit로 다양한 오픈소스소프트웨어(OSS)의 취약성을 시험해본 결과, 실제로 기능하는 14종류의 익스플로잇이 생성되었다고 한다(9월 8일 시점). 소요시간은 불과 10분에서 15분.

    Auto Exploit의 놀라운 점은 익스플로잇을 작성하는 시간이 짧다는 것뿐만 아니라, 코스트가 낮다는 점도 들 수 있다. 익스플로잇 1건을 생성하는 데 드는 코스트는 대략 1달러라고 한다.

    VulnCheck에 따르면, 2024년에는 약 4만 건의 취약성이 보고되었고, 실제로 악용된 것은 768건이다. Auto Exploit과 같은 시스템을 공격자가 개발하면 더 많은 취약성이 단시간에 악용될 가능성이 있다.

    Auto Exploit를 구축한 두 연구자들은 블로그를 통해 중대한 취약점은 7일 이내에 수정해야 한다는 지금까지의 정책이 곧 과거의 것이 될 것임이 증명되었다고 강조. 방어하는 측에 극적인 스피드 업이 요구되며, 대응 시간을 몇 주에서 몇 분으로 단축하지 않으면 안 된다고 경종을 울렸다.

     -- 끝 –

     

    Copyright © 2025 [Nikkei XTECH] / Nikkei Business Publications, Inc. All rights reserved.

    목록