"공격은 최선의 방어라고 한다. 이를 재해석하면, 인공지능(AI)에 해킹을 가르쳐야 해커와의 불리한 싸움 구도에서 벗어날 수 있다는 뜻이 된다."
박세준 티오리 대표는 30일 과학기술정보통신부 공식 AI 주간 'AI페스타 2025'의 부대 행사로 개최된 '대한민국 사이버 보안 컨퍼런스'에서 AI 기술들을 활용해 해킹을 선제적으로 방어한 사례를 공유하면서 이같이 말했다.
해커가 AI를 활발히 악용해 공격 건수와 속도 측면에서 이전보다 압도적인 성능을 발휘하며 우위를 점한 상황에서, 방어자도 해킹 전문 지식을 학습한 AI를 활용하지 않고선 대응이 어려워졌다는 진단이다.
해킹을 방어할 인력부터 크게 부족하다. 당장 부족한 전세계 사이버보안 인력만 480만명이라는 통계를 인용했다. 박세준 대표는 "지금부터 인력을 육성해도 턱없이 모자르다는 뜻"이라며 "해킹에 대한 대응도 수동적이고 제한적이다"고 지적했다.
이런 탓에 신규 취약점이 발견되고 이를 해커가 악용하는 시점과, 이에 대한 방어가 실시되기까지 평균 50일 가량의 시차가 발생한다고도 지적했다. 해커가 방어자에 비 50일을 앞서 움직이고 있다는 뜻이다.
티오리는 이런 사이버보안 한계를 극복하기 위해 AI가 소스코드를 이해하면서 취약점을 발견하고, 해커가 택할 최적의 공격 시나리오와 경로를 증명할 수 있으면서 문제가 된 소스코드에 대한 패치를 자동 생성할 수 있도록 하는 기술 개발에 나섰다. 이같은 취지로 개발한 AI 시스템이 '로보덕'이다.
박 대표는 "저희 목표는 LLM을 활용해 인간 전문가의 전체 업무 흐름을 그대로 재현하는 것"이라며 "이를 위한 첫 단계가 취약점을 파악해 버그 리포트를 생성하는 것"이라고 소개했다.
이어 "어려운 부분은 몇십만 줄, 몇백만 줄 가량의 소스코드 속에서 취약점을 탐색해내게 하는 것이었다"며 "에이전트를 쓰기엔 비효율적인데, 이를 '원샵 프롬프팅(예시를 바탕으로 문제를 해결하도록 하는 기법)'으로 해결하고자 했다"고 설명했다.
이런 기술들로 다수 생성된 버그 리포트 중 유효한 건수를 찾아내는 'LLM 클래시파이어'를 활용했다. 박 대표는 "1만개 정도 리포트를 처리하는 데 10분 정도, 비용은 10달러가 소요됐다"고 덧붙였다.
이를 통해 미 국방부 산하 방위고등연구계획국(DARPA)에서 주최한 AI 사이버 챌린지에 도전한 결과 90여개 참여팀 중 1위를 거두는 성과를 거뒀다.
로보덕은 총 취약점 34건을 발견해 보안 패치 20건을 제공하는 데 성공했다.
박 대표는 에이전틱 AI로 보안 전문가의 업무 흐름을 재현하는 것이 가능하다는 것이 증명됐다는 데 주목했다.
관련기사
- AI페스타 2025 ‘AI 챔피언관’…AI 혁신 현장을 한눈에2025.09.30
- 한국문화정보원, AI페스타 기간 'AI와 문화의 만남' 알려2025.09.30
- 미라벨소프트, AI페스타어워즈서 IITP 원장상 수상2025.09.30
- ‘AI 챔피언’ 도전자들, AI페스타 한 가운데 모인다2025.09.19
박 대표는 "AI를 이용한 공격 폭증은 피할 수 없는 현실임과 동시에 AI는 수백만줄 코드에서 제로데이 찾아내는 가장 강력한 무기"라며 "공격자들이 AI를 활용해 공격하기 전에 보안 시스템이 이를 예측하고 실시간으로 진화하게 되고, 이는 인간과 AI가 협업하는 모델이 될 것"이라고 전망했다.
박 대표는 "AI 시스템을 개발하는 데 1.5년 정도 기간이 걸렸고, 20만줄에 가까운 코드 수정을 거쳤다"며 "비용도 오픈AI, 엔트로피, 제미나이 등 거대언어모델(LLM) API 사용료와 애저 클라우드 등 인프라 비용을 종합하면 약 3억원이 투입됐다. 다만 비용은 모델을 보유한 기업들의 도움을 받았다"고 밝혔다.
