AI 보안, Mythos의 가능성과 한계

발표자는 Mythos가 제로데이(Zero-day) 취약점을 얼마나 효과적으로 찾아낼 수 있는지에 대한 의문을 제기하며, 현재 AI 모델들이 주로 알려진 패턴이나 기존 취약점 유형을 재현하는 데 그칠 수 있다고 지적함. 특히, 새로운 유형의 취약점(Novel Vulnerabilities)을 탐지하는 능력에 대한 검증이 필요하며, 이는 AI 보안 연구의 핵심 과제임을 강조함.

Mythos와 같은 AI 모델 개발 및 운영에 막대한 비용이 소요됨을 지적하며, 현재로서는 높은 비용 대비 낮은 취약점 탐지율이 경제적 타당성을 저해하는 요인으로 작용한다고 분석함. 보안 연구의 ROI(Return on Investment) 관점에서 AI 도입의 실효성을 신중하게 평가해야 하며, 이는 기업의 보안 투자 결정에 중요한 고려사항임을 언급함.

AI 모델이 학습 데이터의 편향성으로 인해 특정 유형의 취약점만 과도하게 탐지하거나, 실제 존재하지 않는 취약점을 보고하는 오탐(False Positive) 문제를 야기할 수 있다고 설명함. 이러한 문제는 보안 팀의 업무 효율성을 저하시키고, 실제 위협에 대한 대응 능력을 분산시킬 수 있다는 점을 지적함.

AI가 보안 연구의 효율성을 높일 수 있지만, 새로운 공격 벡터를 창의적으로 탐색하거나 복잡한 시스템의 맥락을 이해하는 데는 여전히 인간 전문가의 역할이 중요하다고 강조함. AI는 반복적인 패턴 탐지나 대규모 코드 분석을 보조하는 도구로 활용될 때 가장 큰 가치를 발휘하며, 인간과 AI의 협업이 미래 보안 전략의 핵심임을 시사함.

Mythos가 기존 코드에 대한 접근 권한을 얻어 취약점을 탐지하는 방식에 대해 논의하며, 이는 데이터 프라이버시 및 윤리적 문제를 야기할 수 있다고 지적함. AI 모델의 투명성과 설명 가능성(Explainability)이 부족할 경우, 잠재적인 오용 가능성에 대한 우려가 제기되며, 이는 AI 기술 발전과 함께 반드시 고려되어야 할 윤리적 딜레마임을 언급함.