챔피언 윤리 해커, Mythos 같은 AI 도구가 사업에 위협이 될 수 있다고 경고
Source: BBC Technology
22 분 전 – Joe Tidy, 사이버 특파원, BBC World Service
Pwn2Own 베를린
국제적인 권위 대회에서 큰 상을 차지한 윤리 해커가 AI 도구인 Claude Mythos의 부상으로 경쟁 일수가 제한될 수 있다고 말했습니다. 발렌티나 팔미오티 – 흔히 **“Chompie”**로 알려진 –는 베를린에서 열리는 연례 Pwn2Own 해킹 대회에서 가장 성공적인 개인이었습니다. 그녀는 BBC 뉴스에 현재 AI 도구가 버그 바운티—사이버 범죄자들이 악용하기 전에 취약점을 발견한 해커에게 지급되는 금액—를 따는 데 도움을 주고 있다고 전했습니다. 하지만 그녀는 Mythos와 같은 시스템이 너무 강력해져서 챔피언 해커조차도 곧 이들과 경쟁하기 어려워질 수 있다고 경고했습니다.
AI가 사이버‑보안에 미치는 영향
- Mythos를 만든 Anthropic은 이 모델이 이미 수백 개의 소프트웨어 프로그램에서 1 600개의 취약점을 발견했다고 주장한다.
- 이에 따라 Anthropic은 Mythos를 소수의 정부와 사이버‑보안 기관에만 공개할 수 있다고 말한다.
Pwn2Own 한눈에 보기
- ZeroDay Initiative가 주관하는 이번 대회는 전 세계 윤리 해커들을 초대해 특정 제품의 취약점을 찾도록 합니다.
- 올해는 **약 £970 000 ($1.3 m)**가 참가자들에게 수여됐으며, 이들은 총 47개의 새로운 해킹 방법을 발견했습니다.
- 보고된 모든 결함은 현재 해당 기업들에 의해 패치되고 있습니다.
Chompie의 하이라이트
| Day | Target | Prize |
|---|---|---|
| 1 | Nvidia‑연동 시스템 | $20 000 |
| 2 | Linux‑기반 시스템 | $50 000 |
“첫 번째 상을 받자마자 바로 호텔 방으로 달려가 다음 상을 위해 작업을 계속했어요. 오후 6시부터 새벽 6시까지 일했고 잠을 못 잤어요,” 라고 그녀는 회상했습니다.
“저는 스스로 좀비‑해커 모드라고 부르는 상태였어요 – 몇 시간씩 연구와 테스트에 몰두했고, 에너지 음료와 아드레날린, 검은 후드티가 저를 버텨 주었죠. 건강에는 좋지 않지만, 그때는 필요했어요.”
Chompie가 수상 해킹을 선보이는 모습.
AI는 양날의 검
많은 챔피언들, 특히 Chompie는 “좀비 모드”에서 AI를 활용해 성능을 끌어올리고 있습니다. 그녀는 Claude Code와 같은 도구가 대회와 IBM X‑Force 보안 연구원으로서의 일상 업무 모두에서 작업 속도를 높여준다고 설명했습니다.
“우리는 AI가 도움이 되는 sweet spot에 있습니다.”라고 그녀는 말했습니다. “하지만 Claude Mythos와 GPT 5.5 Cyber 같은 새로운 모델이 등장하면서 상황은 곧 변할 것입니다.”
그녀는 덧붙였습니다:
“올해는 마지막 기회가 될지도 모른다고 생각해서 경쟁에 참여했습니다. 이는 보안 연구나 윤리적 해킹을 위한 공간이 사라진다는 뜻은 아니지만, 손쉽게 얻을 수 있는 과제들은 점점 사라질 것입니다.”
대조적인 관점: Orange Tsai
Orange Tsai – 베를린에서 또 다른 큰 수상자이며 실명을 비공개로 유지하는 것을 선호하는 인물 – 은(는) 매우 복잡한 공격 경로를 밝혀 $375 000 (£278 000) 상금을 팀에게 안겨주었습니다.
Orange Tsai, 베테랑 경쟁 해커.
“저에게 AI는 연구 워크플로우를 가속화해 주는 정말 멋진 어시스턴트와 같습니다,” 라고 그는 말했습니다. “연구를 하다 보면 흥미로운 아이디어가 많이 떠오르지만, 저는 여전히 잠이 필요하기 때문에 모든 것을 하나씩 테스트할 수 없습니다. AI가 드디어 제 손을 자유롭게 해 주었어요.”
Tsai는 인간의 창의성과 직관이 AI 도구가 놓치는 취약점을 계속해서 발견할 것이라고 낙관하고 있습니다. 이는 기준이 높아지고 있는 상황에서도 마찬가지입니다.
강력한 AI 모델의 부상은 윤리적 해킹 환경을 재편하고 있습니다. 일부는 이를 생계에 대한 위협으로 보지만, 다른 이들은 사이버 보안 연구의 미래를 재정의할 수 있는 강력한 협업 파트너로 보고 있습니다.
Source: …
나쁜 사람들은 어떻게 될까?
“좋은” 해커들이 온라인 시스템에 침투할 방법을 찾는 것이 어려워진다면, 이는 범죄 해커들에게는 무엇을 의미할까요? 연구에 따르면 범죄자들은 AI를 활용해 공격 속도를 높이고—경우에 따라 데이터 유출 및 랜섬웨어를 위한 새로운 침투 경로를 만들기도 합니다. 하지만 대부분의 사이버 공격은 여전히 새로운 버그를 찾아야 하는 복잡한 방법보다, 오래전부터 사용되어 온 단순한 방법에 의존하고 있습니다. 예를 들어:
- 피싱 또는 소셜 엔지니어링 – 직원에게 가짜 이메일을 보내 악성 링크를 클릭하게 함으로써 해커가 기업 시스템에 접근하도록 하는 방법.
방어자의 관점에서 본 전망
“공격 해커에 대한 흐름이 바뀌고 있다고 생각합니다. 방어는 이 능력으로부터 많은 이득을 얻을 수 있습니다,” 라고 사이버 보안 전문가 Chompie가 말합니다.
“하지만 AI가 사이버 보안 방어자에게 주는 혜택은 이러한 제품이 책임감 있게 출시될 때만 실현될 수 있습니다. 좋은 사람들은 가장 강력한 도구에 먼저 접근할 수 있어야 하며, 그래야 나쁜 사람들보다 먼저 취약점을 찾아 고칠 수 있습니다.”
Visuals
