기술 설명
2026년 4월 27일 싱가포르의 Black Hat Asia에서 RunSybil CEO Ari Herbert-Voss는 Anthropic의 Mythos 및 OpenAI의 GPT-5.5와 같은 최신 LLM이 공격 보안에 미치는 실제 영향을 살펴보는 키노트를 발표했습니다. Herbert-Voss는 자동화된 익스플로잇의 능력 상한선이 빠르게 상승하고 있음을 인정하면서도, 발견 사항을 검증하고 운영화하는 능력인 능력 하한선이 그에 미치지 못하고 있다고 주장했습니다. UK AI Security Institute의 Mythos 평가에 따르면 모델은 제어된 환경에서 공격 체인의 상당 부분을 완료할 수 있지만, 실제 대상에 대한 일관성은 제한적입니다. Herbert-Voss는 2000년대의 퍼징과 유사한 점을 언급했습니다: 자동화된 도구는 대규모 데이터셋과 가능한 버그를 생성하지만, 필터링, 익스플로잇 가능성 검증, 근본 원인 파악에는 여전히 인간의 전문성이 필요합니다.
공격 경로
LLM은 낮은 심각도의 '얕은 버그' 발견 및 익스플로잇에서 '대규모 성과'를, 중간 수준의 취약점에서는 적정한 성과를, 가장 심각한 결함에서는 미미한 성과를 보여줍니다. 공격 벡터는 특정 익스플로잇이 아니라 버그 발견과 다단계 공격 실행을 가속화하기 위한 AI의 체계적 활용입니다. 조직은 가속화된 익스플로잇 시간에 대비해야 합니다: 2023년부터 2026년 사이에 전문 CTF 환경에서 버그 발견부터 익스플로잇까지의 평균 시간은 5개월에서 10시간으로 단축되었습니다. 그러나 실제 배포에는 특히 복잡하고 영향이 큰 취약점의 경우 여전히 인간의 조율이 필요합니다.
영향받는 시스템
모든 소프트웨어 시스템은 이론적으로 LLM 보조 퍼징 및 익스플로잇 생성을 통한 가속화된 버그 발견에 노출되어 있습니다. 소프트웨어를 배포하는 조직이 가장 위험하며, 익스플로잇 전 패치 적용 윈도우가 빠르게 축소되고 있습니다. AI 인프라 자체(모델 추론 서버, 에이전트 조율 플랫폼, MCP 서버)도 공격 대상 클래스입니다.
완화 방안
Herbert-Voss는 '좌측 이동'이 그 어느 때보다 중요하다고 강조했습니다—조직은 버그 도입부터 익스플로잇까지의 윈도우가 붕괴되고 있으므로 개발 생명주기의 초기 단계에 보안 테스트를 통합해야 합니다. AI가 생성한 버그 보고서를 분류하고 익스플로잇 가능한 발견을 우선순위 지을 수 있는 자동화된 검증 파이프라인에 투자하세요. 보안 팀은 공격자와의 동등성을 유지하기 위해 AI 보조 도구를 직접 채택해야 합니다. 고위험 시스템의 경우, 외부 적대자가 행동하기 전에 방어를 스트레스 테스트하기 위해 내부적으로 AI 레드팀을 배포하는 것을 고려하세요. 마지막으로, 에이전트형 공격 보안이 배우기 좋은 기회라는 점을 인식하세요: 능력과 운영화 사이의 간격이 인간 전문성이 여전히 필수적인 영역입니다—자동화된 발견을 검증하고 맥락화할 수 있는 숙련된 보안 엔지니어를 채용하고 유지하세요.