AI 요약
보안 취약점을 관리하는 두 가지 전통적인 문화인 '조율된 공개(Coordinated Disclosure)'와 '조용한 수정(Bugs are Bugs)'이 AI 가속화로 인해 위기 상황을 맞이했습니다. 기존에는 취약점 발견 시 90일의 유예 기간을 두거나 보안 문제임을 알리지 않고 수정하는 것이 일반적이었으나, AI가 방대한 코드 커밋 데이터에서 보안 신호를 포착하는 능력이 향상되면서 이 방식들의 효용성이 급격히 떨어지고 있습니다. 특히 AI 기반의 취약점 스캐닝은 탐지 속도를 비약적으로 높여 동일한 취약점을 여러 그룹이 거의 동시에 발견하는 현상을 초래합니다. 저자는 Gemini 3.1 Pro, ChatGPT-Thinking 5.5, Claude Opus 4.7과 같은 최신 AI 모델을 사용하여 특정 커밋(f4c50a403)을 테스트한 결과, AI가 컨텍스트가 부족한 상태에서도 보안 패치 여부를 신속하게 판별해낼 수 있음을 확인했습니다. 결론적으로, 공격자와 방어자 모두 AI를 활용하는 시대에는 기존의 긴 보안 유예 기간이 오히려 리스크를 키우는 요인이 되고 있습니다.
핵심 인사이트
- 유예 기간의 한계: 과거 90일이었던 표준 유예 기간은 AI 스캐닝 시대에 너무 길며, ESP 취약점 사례의 경우 Kim의 보고 후 단 9시간 만에 Kuan-Ting Chen이 독립적으로 이를 다시 찾아냄.
- 조용한 수정 방식의 몰락: 리눅스 커널 등에서 사용되는 '보안 언급 없이 수정하기' 전략은 AI가 코드 차이점(diff)을 분석해 보안 이슈를 특정해내는 저비용 고효율 분석 기술에 의해 무력화됨.
- AI 모델의 판별 능력: Gemini 3.1 Pro, ChatGPT-Thinking 5.5 등은 f4c50a403 커밋 메시지나 코드 변경 내용만 보고도 이것이 보안 패치인지 즉각 판단하는 성능을 보여줌.
- 방어 속도의 가속화: AI는 공격자뿐 아니라 방어자의 속도도 높여주므로, 과거에는 불가능했던 '초단기 유예 기간' 설정이 기술적으로 가능해짐.
주요 디테일
- 조율된 공개(Coordinated Disclosure): 취약점 발견자가 제작자에게 비공개 보고 후 수정할 시간을 주는 문화로, AI의 빠른 탐지 속도로 인해 정보 독점이 불가능해지고 있음.
- Bugs are Bugs 문화: 모든 버그를 단순히 버그로 취급하여 조용히 고치는 리눅스 스타일의 접근법이나, 이제는 AI가 수많은 커밋 중 '보안 패치'라는 신호(Signal)를 노이즈에서 쉽게 분리해냄.
- 모델별 테스트 결과: 특정 코드 diff만 제공했을 때 Gemini는 보안 패치임을 확신했고, GPT는 가능성이 높다고 판단했으나, Claude는 상대적으로 신중한 반응을 보임.
- 유예 기간의 역설: 긴 유예 기간은 보안 위협이 급하지 않다는 착각을 불러일으키고, 취약점을 고칠 수 있는 행위자의 범위를 제한하여 오히려 위험을 초래함.
- 비용 효율성: AI를 통해 모든 커밋을 평가하는 작업이 점점 저렴해지고 효과적으로 변하면서 공격자의 정보 수집 장벽이 낮아짐.
향후 전망
- 유예 기간의 단축: 향후 보안 취약점 관리 문화는 현재보다 훨씬 짧은 유예 기간을 두는 방향으로 진화할 것이며, 시간이 지날수록 그 기간은 더욱 짧아질 것으로 예상됨.
- AI 기반 방어 체계: 방어자들도 AI를 활용하여 패치 생성 및 배포 속도를 높여 공격자의 분석 속도에 대응하는 실시간 보안 생태계가 구축될 것임.