[SNS 타임즈] AI 전문 분석기업 더딥뷰(The Deep View)가 최근 발표한 보고서에 따르면, 인공지능(AI) 시스템이 사이버보안 분야에서 인간 전문가의 능력을 압도하는 새로운 위협의 시대가 열리고 있다. 보고서는 최근 개발된 AI 시스템이 20년 경력의 사이버보안 전문가가 40시간에 걸쳐 수행한 작업을 단 28분 만에 완료했다고 밝혔다.

자율형 AI 해커 'XBOW'의 충격적 성과

더딥뷰 보고서가 주목한 것은 전 깃허브(GitHub) 엔지니어들이 개발한 'XBOW'라는 AI 시스템이다. 이 시스템은 104개의 현실적인 보안 벤치마크(성능 측정 기준)에서 주요 침투 테스터(해킹 전문가)와 동일한 성능을 보이며, 전체 소요 시간의 1.1%도 되지 않는 시간에 같은 수의 보안 취약점을 발견하고 악용했다고 분석됐다.

실제로 XBOW는 2024년 7월 2천만 달러의 투자를 받은 후 9월부터 해커원(HackerOne·세계 최대 해킹 보고 플랫폼)에서 미국 내 11위에 올랐으며, 20개의 치명적 발견 사항을 포함해 65개의 보고서를 제출하는 등 실전에서 그 능력을 입증하고 있다.

급증하는 사이버 위협 환경

이 같은 AI 기반 공격 도구의 등장은 이미 심각해진 사이버 위협 상황을 더욱 악화시키고 있다. 업계 통계에 따르면 2025년 1분기 사이버공격은 전년 동기 대비 47% 증가했으며, 조직들은 주당 평균 1,925건의 보안 사고에 직면하고 있다.

더딥뷰는 헌티드 랩스(Hunted Labs)의 공동창립자 헤이든 스미스의 발언을 인용해 "깊은 경험을 가진 전문가의 능력과 ' 며칠 걸리던 일을 30분에 할 수 있는' AI의 속도가 결합될 때 정말 역동적이고 위험한 상황이 만들어진다"고 경고했다.

특히 이러한 가속화는 단일 운영자가 수천 개의 목표를 동시에 조사할 수 있게 하며, 숙련된 공격자는 20개의 제로데이 공격(아직 알려지지 않은 보안 취약점을 이용한 공격)을 동시에 실행할 수 있어 기존 방어 도구로는 대응이 거의 불가능하다는 분석이다.

'직감형 AI 해킹' 현상의 확산

더딥뷰가 새롭게 주목한 것은 '바이브 해킹(Vibe Hacking)'이라 불리는 새로운 공격 패턴이다.

이는 해킹 원리를 정확히 모르는 일반인도 직감적으로 AI에게 지시만 하면 전문가급 사이버 공격을 수행할 수 있게 된 현상을 말한다. 루타 시큐리티(Luta Security)의 CEO 케이티 무수리스가 명명한 이 용어는 "작동 원리를 이해하지 못한 채 AI에게 문제 해결을 지시하는 증가하는 추세"를 의미한다.

무수리스는 와이어드 매거진과의 인터뷰에서 "AI 모델 제작자들이 설치한 보안장치를 우회하는 가장 쉬운 방법은 '해킹 경진대회에 참여한다'고 거짓말하는 것"이라며, "그러면 AI가 기꺼이 악성 코드를 생성해준다"고 밝혔다.

이러한 공격 기법의 민주화는 전통적인 해커 집단을 넘어 일반인들까지도 고도의 사이버 공격을 수행할 수 있게 만들고 있다. 실제로 AI 회사 앤트로픽(Anthropic)은 최근 클로드(Claude) AI를 이용해 100개 이상의 소셜미디어 봇 계정을 조작한 '영향력 서비스' 네트워크 사례를 보고했다.

피해 규모의 급속한 확산

이 같은 피해 규모의 급속한 확산은 랜섬웨어(몸값 요구 악성 프로그램) 공격에서 두드러진다. 2025년 1분기 랜섬웨어 공격은 126% 증가했으며, FBI는 2024년 온라인 사기 피해액이 166억 달러로 2023년 대비 33% 증가했다고 발표했다.

사이버보안 전문가 벤 하트위그는 "초급 수준의 공격자들도 더 이상 해킹 기술을 직접 개발할 필요가 없다"며, "텔레그램 채널을 통해 이미 만들어진 해킹 도구를 구매하거나 다른 사람이 해킹해놓은 시스템에 접근할 권한을 임대할 수 있다"고 설명했다.

업계의 긴급 대응

AI 업계는 이러한 위협에 대한 대응에 나서고 있다. 오픈AI와 앤트로픽은 미국 AI 안전 연구소와 안전 테스트 협약을 체결했다. 하지만 앤트로픽은 정부 보고서에서 "우리의 최신 시스템인 클로드 3.7 소넷이 생물학적 무기 개발 측면을 지원하는 능력에서 우려스러운 개선을 보여준다"고 우려를 표했다.

보안 회사들도 AI 기반 방어 시스템 배치에 나서고 있지만, 글로벌 위험 분석업체 레인(RANE)의 분석가 헤일리 베네딕트는 "AI를 가진 나쁜 사람에 대한 최고의 방어는 AI를 가진 좋은 사람"이라고 말해 AI 대 AI 경쟁 구도를 예고했다.

새로운 패러다임 전환의 시점

더딥뷰는 보고서에서 "XBOW의 성능은 분수령이 되는 순간을 나타낸다"며, "AI 시스템이 이제 공격적 사이버보안에서 전문가 수준의 인간 능력과 맞먹으면서도 기계의 속도로 작동한다"고 평가했다.

특히 "'바이브 해킹'의 출현은 전문가 수준의 공격 능력을 전통적인 해커 커뮤니티를 넘어 민주화시키고 있어 특히 우려스럽다"며, "AI가 몇 분 만에 인간이 며칠 걸리던 일을 완료할 수 있게 된 지금, 전통적인 방어 접근법은 쓸모없게 됐다"고 경고했다.

더딥뷰는 "방어자들은 AI 기반 공격이 불가피하다고 가정하고, AI 지원 공격의 속도, 규모, 창의성에 맞는 방어 체계를 구축해야 한다"며, "경쟁이 시작됐고, 그 판돈은 그 어느 때보다 높다"고 강조했다.

- Copyright, SNS 타임즈 www.snstimes.kr