AI가 보안 취약점 공개 방식 두 가지를 파괴
원제: AI is breaking two vulnerability cultures
왜 중요한가
AI의 취약점 탐지 능력 향상으로 기존 보안 공개 프로세스가 무력화되어 업계 전반의 보안 대응 방식 재정립이 시급하다.
AI의 취약점 탐지 능력 향상으로 기존 보안 업계의 두 가지 공개 방식이 효과를 잃고 있다. 90일 유예 기간을 두는 '조정된 공개'와 조용한 수정을 선호하는 '버그는 버그' 문화 모두 AI가 빠르게 취약점을 발견하면서 한계를 드러내고 있어 매우 짧은 유예 기간이 필요하다는 분석이 제기됐다.
최근 Copy Fail 취약점 사례를 통해 AI가 보안 취약점 관리 방식을 근본적으로 바꾸고 있음이 드러났다. 현재 보안업계는 두 가지 주요 접근 방식을 사용한다. 첫째는 '조정된 공개' 문화로 취약점 발견 시 개발자에게 비공개로 알리고 90일간 수정 시간을 주는 방식이다. 둘째는 리눅스에서 흔한 '버그는 버그' 문화로 보안 취약점도 일반 버그처럼 조용히 빠르게 수정하는 방식이다. 하지만 AI가 취약점 탐지에 능숙해지면서 두 방식 모두 효과를 잃고 있다. AI는 코드 변경사항을 실시간으로 분석해 보안 수정 사항을 쉽게 식별할 수 있다. 실제로 ESP 취약점의 경우 김현우 연구원이 신고한 지 9시간 만에 다른 연구자가 독립적으로 같은 취약점을 발견했다. 저자는 Gemini 3.1 Pro, ChatGPT-Thinking 5.5, Claude Opus 4.7을 테스트한 결과 모든 AI가 보안 패치를 즉시 식별할 수 있음을 확인했다. 장기간 유예는 거짓된 안전감을 조성하고 수정 작업을 제한할 수 있어 위험을 증가시킨다. 해결책으로는 매우 짧은 유예 기간 설정이 제시되며, AI가 공격자와 방어자 모두를 도울 수 있어 이전에는 너무 짧았던 유예 기간도 유용해질 수 있다고 분석했다.