AI 시대, 버그 헌팅 경쟁 격화
원제: The AI Era Is Creating a Bug Hunting Arms Race
왜 중요한가
AI 기반 자동화로 사이버보안 생태계가 근본적으로 재편되며 기업들의 보안 대응 전략 변화가 불가피해졌다.
AI가 소프트웨어 취약점 발견과 익스플로잇 개발을 자동화하면서 버그 바운티 시장이 급변하고 있다. 보안 연구자 Joseph Thacker는 작년 대비 3배 많은 버그를 제출했다고 밝혔으며, Google 등 기업들의 버그 포상금 지출이 2-10배 증가할 것으로 예상된다고 전했다.
AI 모델이 소프트웨어 취약점을 자율적으로 식별하고 해킹 도구를 개발하는 능력이 향상되면서 취약점 공개 프로그램과 버그 바운티 시장이 급격히 변화하고 있다. Apple은 2016년 버그 바운티를 시작할 때 최고 상금이 20만 달러였지만, 2019년 100만 달러, 작년에는 200만 달러로 증가했다. 독립 보안 연구자 Joseph Thacker는 AI를 활용한 버그 헌팅 방법과 도구를 개발했으며, 작년 같은 시기 대비 3배 많은 버그를 제출했다고 밝혔다. 그는 Google 같은 기업들이 작년 대비 2-10배 많은 버그 포상금을 지출할 것으로 예상한다고 전했다. 이러한 변화는 공급과 수요 역학을 바꾸고 있으며, AI 에이전트들이 저수준부터 중간 수준의 취약점을 대량으로 발견하고 있다. 보안 연구자 Himanshu Anand는 '90일 책임 있는 공개 기간은 버그 발견자가 드물고 익스플로잇 개발이 느린 세상을 위해 만들어졌지만, 그런 세상은 사라졌다'고 분석했다. Google 연구진은 이달 초 '주요 사이버 범죄 위협 행위자들'이 AI를 활용해 공격 능력을 확장하고 비용을 절감하려 한다는 관찰 결과를 발표했다.