AI, 20년 된 버그를 발견? 사이버 보안의 현실과 허상

Anthropic의 AI 모델인 Mythos가 FreeBSD의 CVE-2026-4747 취약점을 발견하고 익스플로잇(Exploit)을 시연했다는 발표가 있었지만, 해당 취약점은 2007년에 발견된 Kerberos의 취약점(CVE-2007-3999)과 매우 유사하다는 점이 밝혀졌다. 특히, `svc_rpc_gss_validate` 함수 내의 스택 버퍼 오버플로우(Stack Buffer Overflow) 취약점이 동일하게 나타났다.

이번 사례는 AI가 새로운 취약점을 '발견'했다기보다는, 훈련 데이터에 포함된 과거 취약점 정보를 활용하여 익스플로잇을 생성한 것으로 분석된다. 즉, AI는 기존 지식을 조합하여 새로운 결과를 도출하는 데 능숙하지만, 완전히 새로운 취약점을 '창조'하는 단계는 아니라는 것이다. 이는 AI의 사이버 보안에서의 역할과 한계를 보여주는 중요한 사례이다.

커뮤니티에서는 AI의 과장된 성능 발표에 대한 비판과 함께, AI가 과거 취약점을 활용하여 공격의 효율성을 높이는 데 초점을 맞춰야 한다는 의견이 제기되었다. 특히, AI가 기존 CVE 데이터베이스(CVE Database)를 활용하여 새로운 제로데이(Zero-day) 공격을 시도할 수 있다는 점을 강조하며, AI 기반 공격에 대한 방어 전략의 중요성을 역설했다.

AI는 사이버 공격의 비용을 낮추는 역할을 할 수 있지만, 패치를 통해 방어하는 것이 여전히 더 효과적이라는 분석이 나온다. 즉, AI가 발견한 취약점을 빠르게 패치하고, 자동화된 취약점 분석 도구(Automated Vulnerability Analysis Tools)를 활용하여 선제적으로 대응하는 것이 중요하다. 또한, 데이터 미저장 정책(Zero-Retention Policy)을 통해 AI 모델의 훈련 데이터 유출로 인한 위험을 줄이는 것도 고려해야 한다.