AI가 재편한 사이버 전장…보안의 중심, ‘취약점’에서 ‘회복력’으로
[전문가 기고] 강정민 고려대 인공지능사이버보안학과 교수(한국사이버안보학회 총무이사)
한때 취약점 스캐너의 등장은 보안의 판도를 바꾼 사건이었다. 공격자만이 활용하던 도구가 방어자에게 넘어오면서, 보안은 경험과 직관의 영역에서 데이터와 프로세스 기반의 관리 체계로 전환됐다. 그러나 최근 인공지능(AI)이 취약점 발굴을 넘어 익스플로잇 생성까지 수행하기 시작하면서, 보안은 또 한 번의 구조적 전환점에 직면하고 있다. 이번 변화는 단순한 기술 발전이 아니다. 보안의 전제 자체를 바꾸고 있다.
“보이는 보안”에서 “자동화된 공격”으로
1990년대 후반 취약점 스캐너(SATAN, ISS Scanner, Nessus 등)의 등장은 시스템의 약점을 가시화했다. 방어자들은 이를 활용해 내부 점검을 정례화하고, 취약점 관리 체계를 구축했다. 보안은 사건 이후 대응에서 사전 예방(proactive defense) 중심으로 이동했고, 패치 관리와 네트워크 구조 개선(불필요 포트/서비스 제거, 방화벽 정책 정교화 등)이 핵심 전략으로 자리 잡았다. 이 시기의 본질은 명확하다. 보안을 ‘측정 가능한 영역’으로 만든 것이다.
반면, AI 기반 공격 환경에서는 상황이 근본적으로 달라졌다. 이제는 취약점을 찾는 것에 그치지 않고, 해당 취약점을 실제 공격으로 연결하는 과정까지 자동화되고 있다. 취약점 발견과 익스플로잇 개발 사이의 시간 간격이 사실상 사라졌다.
최근에는 이러한 변화가 개념적 논의를 넘어 실제 사례로도 확인되고 있다. 클로드 미토스(Claude Mythos)와 GPT-5.4-사이버(Cyber)와 같은 AI 시스템은 취약점 탐지와 공격 경로 구성, 나아가 익스플로잇 생성까지 자동화할 수 있는 가능성을 보여주고 있다. 이는 과거 인간 전문가의 시간과 경험에 의존하던 공격 준비 과정을 대폭 단축시키며, 공격의 속도와
규모를 새로운 수준으로 끌어올리고 있다. 결국 AI는 단순한 도구가 아니라, 공격의 구조 자체를 재정의하는 요소로 작용하고 있다.
취약점 관리 모델의 한계
기존 보안 체계는 취약점 관리에 기반해 설계되어 있다. 취약점을 발견하고, 위험도를 평가한 뒤, 패치를 적용하는 구조다. 그러나 AI 시대에는 이 모델이 점점 현실과 괴리된다.
취약점 수는 폭증하고, 공격 가능성은 실시간으로 변화한다. 공격자는 자동화된 도구를 통해 대규모 공격을 수행할 수 있으며, 진입 장벽 또한 급격히 낮아졌다. 과거에는 일부 숙련된 공격자만 가능했던 일이 이제는 훨씬 넓은 범위에서 재현된다.
결국 방어자는 모든 취약점을 사전에 제거하는 전략만으로는 더 이상 충분하지 않다.
방어의 중심 이동: 취약점에서 행위로
이러한 변화 속에서 보안 전략은 ‘취약점 제거’ 중심에서 ‘공격 행위 통제’ 중심으로 이동하고 있다.
시스템에 취약점이 존재하더라도, 공격이 실행되는 순간 이를 탐지하고 차단하는 능력이 중요해지고 있다. RASP(Runtime Application Self-Protection), eBPF(Extended Berkeley Packet Filter) 기반 모니터링, SLE(syscall-level enforcement)와 같은 런타임 방어 기술과 행위 기반 탐지, 자동 대응 체계가 주목 받는 이유다. 또한 패치 이전 단계에서 공격을 차단하는 가상 패치(Virtual patching)와 공격 패턴 차단 (exploit pattern blocking) 기술 역시 필수 요소로 자리 잡고 있다.
– RASP((Runtime Application Self-Protection): 애플리케이션 내부에 삽입되어 실행 중인 요청을 분석하고, 공격 행위(SQLi, XSS 등)를 실시간으로 차단하는 기술
– eBPF(extended Berkeley Packet Filter): 커널 수준에서 동작하는 경량 프로그램을 통해 시스템 호출, 네트워크, 프로세스 행위를 실시간으로 관찰·제어하는 기술
– Syscall-level enforcement: 프로세스가 커널에 요청하는 시스템 콜 단위에서 허용/차단 정책을 적용해 비정상 행위를 직접 통제하는 방식
– Virtual patching: 실제 소프트웨어를 수정하지 않고, WAF/IPS 등을 통해 취약점을 악용하는 공격 트래픽을 차단하여 패치 효과를 대신하는 방법
– Exploit pattern blocking: 이미 알려진 익스플로잇의 동작 패턴(페이로드, 트래픽 특성 등)을 기반으로 공격 시도를 탐지하고 차단하는 기술
이제 보안의 핵심은 “얼마나 많은 취약점을 제거했는가”가 아니라, “공격을 얼마나 빠르게 무력화할 수 있는가”로 바뀌고 있다.
달라진 전제: 모든 공격을 막을 수는 없다
그러나 여기서 더 중요한 변화가 있다. AI 기반 공격 환경에서는 모든 침해를 사전에 차단한다는 가정 자체가 점점 성립하기 어려워지고 있다.
제로데이 취약점, 자동 생성된 익스플로잇, 공급망 공격 등은 기존 방어 체계를 지속적으로 우회한다. 공격의 속도와 규모는 인간 중심의 대응 체계를 압도하고 있으며, 방어자는 항상 시간적으로 불리한 위치에 놓인다.
이러한 환경에서는 하나의 전제가 필요해진다. 침해는 발생할 수밖에 없다.
사이버 회복력의 부상
이 지점에서 ‘사이버 회복력(cyber resilience)’이 핵심 개념으로 부상한다. 사이버 회복력은 “부정한 사이버 이벤트에도 불구하고 의도한 결과를 지속적으로 제공할 수 있는 능력(the ability to continuously deliver the intended outcome despite adverse cyber events)”이다. 즉, 보안의 목표가 ‘침해 방지’에서 ‘운영 지속성 확보’로 확장되는 것이다.
이는 기술적 대응을 넘어 시스템 설계와 운영 전략 전반의 문제다. 미국 사이버보안 인프라보안국(CISA)의 CRR(Cyber Resilience Review)은 이러한 관점에서 자산 관리, 통제 관리, 구성 및 변경 관리, 취약점 관리, 사고 대응 관리, 서비스 연속성 관리, 위험 관리, 외부 의존성 관리, 교육 및 인식, 상황 인식 등 10개 영역을 통해 조직의 회복력을 평가하고 있다. 결국 보안은 더 이상 ‘완벽한 방어’를 목표로 하지 않는다. ‘실패를 전제로 한 생존 전략’으로 전환되고 있다.
새로운 경쟁: AI 대 AI, 그리고 생존의 문제
현재 보안 환경은 AI를 활용한 공격과 방어가 맞서는 새로운 경쟁 구도로 진입하고 있다. 공격자는 자동화된 탐색과 익스플로잇 생성을 수행하고, 방어자는 이를 실시간 으로 탐지하고 대응해야 한다. 이 과정에서 중요한 것은 단순한 기술 우위가 아니다. 시스템이 얼마나 빠르게 회복하고, 얼마나 안정적으로 서비스를 유지할 수 있는지가 핵심 경쟁력이 된다.
결론: 보안의 최종 목표는 ‘회복’이다
취약점 스캐너의 등장은 보안을 가시화하고 체계화했다. AI는 보안을 자동화 경쟁의 영역으로 밀어 넣고 있다. 그리고 그 다음 단계에서, 사이버 회복력은 보안의 목표 자체를 다시 정의하고 있다.
앞으로의 보안 환경에서 중요한 것은 더 많은 취약점을 찾는 능력이 아니다. 공격을 완전히 막는 것도 아니다. 공격이 발생하더라도 무너지지 않는 시스템을 만드는 것, 그리고 빠르게 회복하는 능력. 이것이 앞으로의 보안 경쟁력을 결정짓는 핵심 기준이다.
보안의 중심축은 이제 ‘취약점’에서 ‘회복력’으로 이동하고 있다.
글. 강정민 교수
고려대학교 과학기술대학 인공지능사이버보안학과
한국사이버안보학회 총무이사
