AI가 취약점 쏟아내는 시대…태니엄, ‘자율 패치’ 전략 전면에
Source: Byline Network
“이제 보안의 핵심은 AI가 찾아낸 대량의 취약점을 조직에서 얼마나 빨리 검증하고 패치하느냐에 달려 있습니다.”
강두원 태니엄코리아 이사는 9일 서울 강남구 아셈타워에서 열린 ‘포스트 미토스 시대의 태니엄 자율형 IT 전략 기자간담회’에서 인공지능(AI) 확산 이후 보안 운영의 병목이 취약점 탐지에서 검증과 패치로 이동하고 있다고 강조했다. 이날 태니엄은 AI가 취약점 탐지와 익스플로잇 제작 속도를 높이는 환경에 대응하기 위한 자율 패치 관리 중심의 자율형 IT 전략을 발표했다.
과거에는 보안 전문가가 취약점을 분석하고 익스플로잇을 만드는 데 수일에서 수주가 걸렸다. 태니엄은 AI가 이 과정을 수시간 단위로 줄이고 있다고 봤다. 공격자가 빨라진 만큼 방어자도 취약점 공지 확인, 영향 자산 파악, 승인, 배포, 결과 확인으로 이어지는 기존 업무 흐름을 바꿔야 한다는 것이다.
박영선 태니엄코리아 대표는 “포스트 미토스 시대에는 어제 들었던 정보가 오늘 낡은 정보가 되는 변화를 체감하고 있다”며 “태니엄은 이런 변화에 맞춰 자산 식별, AI 통제, 자율 패치를 중심으로 AI 전략을 전개하고 있다”고 말했다.
AI가 찾은 취약점, 어떻게 빠르고** 안전하게 고칠 것인가**
태니엄은 지난달 앤트로픽(Anthropic)이 공개한 프로젝트 글래스윙(Project Glasswing) 초기 성과에서 포스트 미토스 시대의 보안 병목을 짚었다. 글래스윙은 앤트로픽이 클로드 미토스 프리뷰(Claude Mythos Preview)를 활용해 주요 소프트웨어와 오픈소스의 취약점을 찾고, 이를 방어 목적으로 공유하기 위해 추진하는 프로젝트다.
클로드 미토스 프리뷰는 앤트로픽의 비공개 프런티어 AI 모델이다. 프런티어 AI는 현재 공개된 범용 AI보다 높은 추론 능력을 가진 최상위권 모델을 뜻한다. 태니엄은 AI가 취약점 탐색의 속도와 규모를 바꾸면, 기업 보안 운영의 병목도 함께 바뀐다는 점에 주목했다.
태니엄은 먼저 ‘취약점이 급증한 점’에 주목했다. 앤트로픽은 초기 50여개 파트너사의 제품에서 심각도 높은 취약점 1만건 이상을 찾았다. 오픈소스 영역에서는 1000개가 넘는 프로젝트를 스캔해 2만3019건의 후보 취약점을 찾았다. 외부 검증기관이 검토한 취약점의 유효성은 90.6%로 나타났다. 태니엄은 이 수치가 AI 기반 취약점 탐색이 실험 단계를 넘어 실제 소프트웨어 공급망에 영향을 줄 수 있음을 보여준다고 분석했다.
다음으로 태니엄이 주목한 지점은 ‘패치 병목’이다. AI가 취약점을 빠르게 찾아도 사람이 검토하고, 소프트웨어 개발자가 수정하고, 사용 기업이 배포하는 과정은 같은 속도로 빨라지지 않는다. 태니엄은 오픈소스에서 찾은 후보 취약점 2만3019건 가운데 패치 완료로 집계된 사례가 97건이라고 설명했다. 전체 대비 약 0.4%다. 발견 속도와 조치 속도 사이의 간극이 커질수록 공격자가 악용할 수 있는 시간이 길어진다는 뜻이다.
김도현 태니엄코리아 이사는 파이어폭스 사례를 들어 이 변화를 설명했다. 그는 “모질라 파이어폭스는 지난해 1월부터 올해 1월까지 보안 관련 버그가 한 달 평균 20개 남짓 발견됐지만, 올해 4월에는 423개로 늘었다”며 “이 가운데 271개가 미토스를 통해 발견된 취약점”이라고 말했다.
마지막은 ‘이 흐름이 일회성에 그치지 않는다는 점’이다. 태니엄은 미토스가 보여준 취약점 탐색 능력이 다른 AI 모델로도 확산될 수 있다고 봤다. 프런티어 AI에서 시작한 기능이 오픈소스 모델과 다른 상용 모델로 옮겨가면, 취약점을 찾는 주체는 더 늘어난다. 방어 목적의 발견뿐 아니라 공격 목적의 탐색도 함께 늘어날 수 있다.
김 이사는 “가까운 미래에는 하루에 수백건 또는 수천건의 취약점이 발표되고, 그만큼 많은 패치가 나올 수 있다”며 “공격자는 취약점 발표와 패치 배포 사이의 시간차를 이용하기 때문에 기업은 이 간격을 줄이는 아키텍처와 거버넌스를 갖춰야 한다”고 말했다.
이어 그는 “포스트 미토스 시대의 경쟁력은 취약점을 누가 더 많이 찾느냐에만 있지 않다”며 “조직이 자기 자산을 얼마나 빨리 식별하고, 위험도를 판단하고, 패치를 검증해 배포할 수 있느냐에 달려 있다”고 강조했다.
김도현 태니엄코리아 이사가 9일 열린 포스트 미토스 시대의 태니엄 자율형 IT 전략 기자간담회에서 발표하고 있다. (출처=태니엄코리아)
‘정책 기반의 자율 패치’가 필요하다
태니엄은 이 간극을 줄이려면 기업 보안 운영이 자산 식별, 위험 판단, 패치 배포, 결과 검증까지 하나의 흐름으로 움직여야 한다고 봤다. 사람이 모든 단계를 직접 확인하고 승인하는 방식으로는 AI가 만든 취약점과 패치의 속도를 따라가기 어렵다는 판단이다.
그래서 태니엄이 제시한 대응책은 ‘정책 기반의 자율 패치’다. 다만 단순히 패치를 자동으로 빨리 배포하자는 의미는 아니다. 태니엄은 속도만 높이면 업무 시스템 장애, 패치 안정성 문제, 검증 공백, 규제 대응 문제가 커질 수 있다고 봤다.
기존 보안 운영은 취약점 공지 확인, 담당자 확인, 영향 자산 파악, 변경 요청, 승인, 패치 계획 수립, 배포, 결과 확인 순서로 움직인다. 이 과정마다 사람이 개입한다. 공격자는 AI로 취약점 분석과 익스플로잇 제작을 자동화하는데, 방어자는 여전히 수동 보고와 승인 절차에 묶여 있다는 게 태니엄의 문제의식이다.
강두원 태니엄코리아 이사는 “속도를 높이는 것만 정답은 아니다”며 “정책 주도하에 자동화해야 한다”고 말했다. 그는 “사람은 실행자가 아니라 정책을 정의하는 아키텍트가 돼야 하고, 실행은 시스템이 해야 한다”며 “그 결과가 제대로 조치됐는지도 실시간으로 확인할 수 있어야 한다”고 강조했다.
태니엄은 자율 패치의 판단 기준으로 세 가지를 제시했다. 첫째는 ‘자산 중요도’다. 해당 장비가 인터넷에 노출돼 있는지, 내부 핵심 업무 시스템인지, 일반 단말인지에 따라 대응 방식이 달라져야 한다. 다음은 ‘위험도 평가’다. 단순히 점수가 높은 취약점인지보다 실제 공격에 쓰이고 있는지를 봐야 한다. 마지막은 ‘패치 신뢰도’다. 패치 파일이 안정적인지, 배포 뒤 장애 가능성은 어느 정도인지 확인해야 한다.
태니엄은 이 세 기준을 정책으로 묶어 시스템이 정책 기반으로 자율적으로 실행하도록 해야 한다고 설명했다. 예를 들어 인터넷에 노출된 서버에서 실제 공격에 쓰이는 취약점이 발견됐고 패치 신뢰도가 높다면 즉시 조치한다. 반대로 업무 영향도가 큰 시스템이거나 패치 안정성이 낮다면 단계별 검증을 거쳐 배포한다.
**자율 패치의 현실적 조건은 **‘검증’
태니엄이 제시한 자율 패치가 잘 이뤄지기 위한 중요한 조건이 있다. 바로 ‘검증’이다. 태니엄은 패치가 설치됐는지만 보는 방식으로는 충분하지 않다고 봤다. 중요한 것은 해당 취약점이 실제 기업 환경에서 사라졌는지 확인하는 일이다.
강 이사는 “패치됐다는 사실만으로는 충분하지 않다”며 “그 취약점이 우리 환경에서 사라졌는지, 위험이 배제됐는지가 중요하다”고 말했다.
패치 자동화에 대한 현장의 우려도 있다. 패치를 서둘렀다가 시스템 장애가 나면 보안 담당자와 IT 운영자가 책임을 떠안을 수 있다. 기업이 패치를 늦추는 이유도 단순한 태만이 아니라 서비스 중단, 업무 영향, 책임 문제와 맞물려 있다.
강두원 태니엄코리아 이사가 9일 열린 포스트 미토스 시대의 태니엄 자율형 IT 전략 기자간담회에서 발표하고 있다. (출처=태니엄코리아)
태니엄은 이를 줄이기 위해 ‘링 배포(Ring Deployment)’ 방식을 제시했다. 먼저 소수 장비에 패치를 적용해 성공률과 이상 여부를 확인하고, 이후 10대, 50대, 100대 단위로 넓혀가는 방식이다. 서버처럼 민감도가 높은 자산은 중요도 평가를 거쳐 별도 정책을 적용할 수 있다고 설명했다.
강 이사는 “시스템 민감도, 취약점 위험도, 패치 파일 안전성을 함께 보고 정책으로