AI가 취약점 관리를 무너뜨렸다. CISO가 예산을 BAS로 전환하는 이유.

출처: The Hacker News

30년 동안 취약점 관리는 버퍼에 의존해 왔습니다. 즉, 취약점이 발견된 시점과 이를 무기로 전환할 수 있게 되는 시점 사이의 몇 개월을 말합니다. 해결책은 간단했습니다. 심각도별로 분류하고, 패치를 일정에 넣고, 검증한 뒤 진행하는 것이었죠. 이 버퍼가 바로 그 과정을 가능하게 했습니다.

오늘날, 그 버퍼는 사라졌습니다.

AI가 여러분의 팀을 느리게 만든 것이 아니라, 발견‑활용 사이의 시간을 몇 개월에서 몇 시간으로 압축했습니다. 방어자에게 슬픈 현실은, 여유를 두고 설계된 프로세스가 그 여유 없이는 살아남을 수 없다는 점입니다.

AI가 취약점 탐지를 대량 게임으로 전환

Anthropic은 2026년 5월 업데이트에서 Claude Mythos Preview를 활용해 약 50개 파트너와 함께 한 달 만에 10,000개 이상의 고위·중대한 심각도 취약점을 찾아냈다고 보고했습니다(https://www.anthropic.com/research/glasswing-initial-update).

이전 수치도 마찬가지로 충격적이었습니다.

Firefox를 대상으로 했을 때, 제한된 Mythos 모델은 181개의 실제 작동 익스플로잇을 생성했으며, 이전 프론티어 모델은 겨우 2개에 불과했습니다. 주요 OS와 브라우저 전반에 걸쳐 취약점을 찾아냈고, 27년 동안 미발견 상태였던 OpenBSD 버그도 포함되었습니다.

작성 시점 기준으로, 발견된 취약점의 99% 이상이 아직 패치되지 않았습니다.

그림 1. 2026년 2월, FortiGate 캠페인

AWS의 위