한국, 세계최대 AI 해킹방어대회 석권...'아틀란타'팀 1위
미국 라스베이가스에서 현지시각 7일 열린 세계 최고 AI기반 해킹 방어 대회인 'AI 사이버 챌린지(AIxCC, AI Cyber Challenge)' 결선에서 한국이 주축이 된 팀인 '아틀란타(Atlanta)가 1위를 차지하며 우승했다. 역시 한국이 주축인 한미팀 '티오리(Theori)'는 3위를 기록했다. 2위는 미국 뉴욕 소재 소프트웨어 보안 전문 팀 '트레일 오브 비츠(Trail of Bits)'에 돌아갔다. 정상을 차지한 애틀랜타 팀은 총점 392.76점을 기록 2위 트레일 오브 비츠를 170점 이상 차이로 따돌리며 압도적인 성적을 기록했다. 'AI 사이버 챌린지'는 미국 방위고등연구계획국(DARPA,Defense Advanced Research Projects Agency)과 미국 보건첨단연구계획국(ARPA-H)이 공동 주관하는 세계 최대 AI 기반 사이버 보안 경진대회다. 2년간 글로벌 경연으로 치뤄졌다. 이번 결선 성적은 같은 날 열린 '데프콘(DEF CON) 33' 메인 무대에서 발표됐고, 유튜브 채널로 생중계됐다. 'AI 사이버 챌린지'는 AI 기반 CRS(Cyber Reasoning system)를 활용해 소프트웨어의 취약점을 자동 분석·탐지·수정하는 능력을 겨룬다. DARPA는 각 팀의 CRS를 ▲취약점 찾기 ▲버그 리포트 평가 ▲소프트웨어 패치 생성 등 세 기준으로 평가, 우승자를 가렸다. 전력망 같은 국가 주요 인프라를 구동하는 코드의 취약점을 찾아 패치하는 한편 오픈소스 AI 모델의 보급 속도를 가속화하기 위해 기획됐다. 대회 총상금은 2950만 달러다. 최종 우승팀은 400만 달러를 받는다. 챗GPT 같은 생성형 AI 도구를 구동하는 대규모 언어 모델(LLM) 발전이 계기가 돼 마련됐다. 실제 엔트로픽(Anthropic)과 오픈AI(OpenAI) 등 주요 AI기업들이 자사 모델 인프라를 제공했다. 전통 해킹대회는 사람이 직접 문제를 풀지만, AIxCC는 AI가 자동으로 취약점을 찾아내고 패치하는 시스템(CRS)으로 설계, 운영한다. 대상은 오픈소스 기반 핵심 인프라 SW(예: 서버, 네트워크 라이브러리 등)고, AI가 코드를 분석해 취약점을 찾고, 자동으로 안전한 코드로 고치며, 이를 실시간 검증한다. 예선(Qualification, 전 세계 참가팀이 온라인에서 경쟁), 세미파이널(Semifinal, 성능 상위 팀들이 시연 및 개선), 본선(Final, 데프콘 무대에서 라이브로 해킹·방어 AI 대결) 순으로 시차를 두고 약 2년간 진행됐다. 행사 주최측에 따르면 이날 결선 1~3위 수상팀들은 각각 400만달러(55억6400만원), 300만달러(41억7000만원), 150만달러(20억8600만원)를 부상으로 받는다. 결선에선 7개 팀(△All You Need IS A Fuzzing Brain △Lacrosse △shellphish △Team Atlanta △Theori △Trail of Bits △42-b3yond-6ug)이 경연을 펼쳤다. 1위를 한 '아틀란타'팀은 미국과 한국이 협력해 구성한 혼합 팀이다. 삼성리서치, 카이스트(KAIST), 포스텍(POSTECH), 조지아텍 등으로 구성됐다. 팀 총괄은 김태수 삼성리서치 부사장 겸 조지아텍 교수가, 삼성리서치 팀 리드는 한형석 연구원이, 카이스트 팀 리드는 윤인수 교수, 포스텍팀 리드는 박상돈 교수가 각각 맡았다. 김태수 교수는 "아틀란타 팀 멤버는 이런 저런 이유로 모두 조지아텍과 관련이 있다"면서 "각 자가 속한 조직에서 리더로 일하고 있다"고 밝혔다. 아틀란타 팀의 KAIST 윤인수 교수는 “엄청난 성과를 이루게 돼 매우 기쁘다. 이번 성과는 한국의 사이버 보안 연구가 세계 최고 수준에 도달했음을 보여주는 쾌거이며, 한국 연구진의 역량을 세계 무대에 보여주게 돼 뜻깊었다”면서 “앞으로도 AI와 보안 기술의 융합을 통해 국가와 글로벌 사회의 디지털 안전을 지키는 연구를 지속하겠다”고 밝혔다. 결승에 진출한 7개 팀 모두 사용한 AI 도구(Cyber Reasoning system, CRS라고 불림)를 오픈소스로 공개하기로 했다. 4개 팀의 AI모델은 이미 공개됐고 나머지 모델은곧 공개될 예정이다. 이번 결승 라운드에서는 총 70개의 합성 취약점이 주어졌고, 참가팀들은 77%를 탐지, 61%를 패치하는 높은 성과를 거뒀다. 더불어 실제 오픈 소스 코드에서 18개의 실질 취약점을 추가로 발견했다.
