맨디언트 "생성형 AI 시대…방어자가 공격자보다 강력해 질 수 있다"
"지금까지 사이버 보안은 방어자가 불리한 게임이었습니다. 이제 생성형 AI를 활용하면 이 판도를 역전시킬 수 있습니다." 심영섭 맨디언트 한국 및 일본 총괄은 6일 서울 강남 섬유센터에서 열린 '제14회 소프트웨어 개발보안 컨퍼런스'에서 이같이 말하며 생성형 AI를 통한 보안 취약점 점검 및 대응 전략을 소개했다. 심 총괄은 20년 이상의 사이버 보안 경력을 바탕으로 '방어자의 딜레마'를 강조했다. '방어자의 딜레마'란 방어자가 모든 취약점을 막아야 하지만 공격자는 단 하나의 취약점만 찾아 침투하면 된다는 불평등한 상황을 뜻한다. 지난 2000년대 IT 버블 시기부터 이러한 상황이 지속되며 보안 담당자는 끊임없이 늘어나는 취약점들을 모두 방어해야 하는 어려움을 겪어 왔다. 이에 심 총괄은 AI 시대에 접어들어 이러한 딜레마를 해결하기 위해 새로운 접근법이 필요하다고 강조했다. 또 심 총괄은 맨디언트의 연례 보고서인 '엠-트렌드(M-Trends)'를 인용해 최근 사이버 공격의 경향을 설명했다. 과거에는 네트워크 및 시스템 취약점을 이용한 공격이 주를 이뤘지만 최근에는 소프트웨어 공급망을 타깃으로 한 공격이 급증하고 있다. 특히 오픈소스 라이브러리에 대한 의존도가 높아지면서 취약점이 증가하고 있는 상황이다. 여기에 생성형 AI의 등장으로 새로운 보안 취약점이 발생할 여지도 있다. 생성형 AI가 학습하는 데이터에는 기존의 버그나 취약점이 포함될 수 있기 때문이다. 심 총괄은 "실제로 생성형 AI가 생성한 코드의 약 40%가 보안 취약점을 포함하고 있다"며 "이에 따라 개발자들이 생성형 AI를 활용할 때는 신중한 검토와 분석이 필요하다"고 강조했다. 그럼에도 불구하고 방어자에게는 생성형 AI가 주는 이점도 있다. 거대언어모델(LLM)과 자동화 도구를 활용하면 정적·동적 분석을 통해 보안 취약점을 효과적으로 점검할 수 있기 때문이다. 특히 코드QL(CodeQL), 트리비(Trivy) 등 다양한 솔루션이 개발돼 취약점을 탐지하고 보안을 강화하는 데 도움을 주는 것으로 알려져 있다. 또 구글의 OSS-퍼즈(OSS-Fuzz)나 엔비디아의 백스(VACS)처럼 오픈소스 보안을 강화하기 위한 프로젝트들도 활발히 진행 중이기 때문에 보안 업계의 기대가 커지고 있다. 심 총괄은 "LLM을 활용한 자동화로 보안 전문가들이 생산성을 높이고 보안성을 강화할 수 있게 됐다"며 "방어자에게만 불리하던 구도가 역전될 수도 있는 기회의 창이 열렸다"고 말했다. 그러면서 "보안 전문가는 생성형 AI가 보안 분야에 위협이 될 수도 있지만 동시에 강력한 무기가 될 수 있다는 점을 늘 주지하고 이 기회를 잘 활용해야 한다"고 강조했다.