글로벌 보안, 클라우드 인프라 기업들의 인공지능(AI) 활용이 늘어나면서 AI를 통한 취약점 발견도 눈에 띄게 늘어났다. AI로 취약점을 찾아내는 시대가 현실로 다가온 것이다. 이에 따라 전문가들은 효율적이고 신속한 대응이 필요하다고 주문했다.
16일 한국인터넷진흥원(KISA) 보호나라에 따르면 올해 글로벌 보안·클라우드 인프라 제품의 보안 업데이트 공지가 전년 대비 크게 늘었다. 지난해 4분기(10월~12월) 보안 업데이트 공지는 총 26건에 그쳤으나, 올해 1분기 50건으로 2배 가까이 늘었다. 6월이 끝나지 않은 시점임에도 2분기에는 57건으로 매분기 증가 추세다.
특히 지난 4월 앤트로픽의 AI 모델 '미토스(Mythos)'의 등장 이후 이같은 경향이 짙어졌다. 지난달 KISA 보안 공지는 26건으로 최근 1년 새 가장 많았고, 이달에만 16일 기준 15건으로 집계됐다.
보호나라 보안 업데이트 공지는 오라클, 팔로알토네트웍스, 삼성전자, 마이크로소프트 등 글로벌 보안·클라우드 인프라 제품에서 취약점이 발견된 경우 해당 업체가 취약점을 해결한 패치 버전을 공개했을 때 신속한 업데이트 확산을 위한 KISA 공지사항이다. 기업 내 영향을 받는 버전의 제품을 사용하고 있는 경우 빠르게 패치할 수 있도록 권고하는 것이다.
KISA는 "AI를 활용해 취약점을 찾는 기술들이 글로벌 기업이나 민간에서도 많이 활성화됨에 따라 취약점을 보다 신속하고 정말하게 찾아내는 숫자가 늘어나고 있다"며 "이에 따라 보안 업데이트가 크게 늘었고, 보안 공지 역시 각 기업별로 쏟아지고 있다"고 설명했다.
실제 전 세계적으로 취약점은 최근 급증하는 추세다. 취약점 데이터베이스 사이트 'CVE 디테일'에 따르면 공개된 취약점(CVE) 개수는 2023년 2만9066개 수준에서 2024년 4만313개로 늘었고, 2025년에는 4만8448건으로 최대치를 기록했다. 16일 기준으로 올해만 하더라도 3만1825건을 기록했다.
이에 쏟아지는 취약점을 대응하는 일선 보안업계 현장에서는 신속한 취약점 공지, 패치 업데이트 공지가 필요하다는 입장이다. 국내 대형 통신사의 한 보안 담당자는 "KISA 보안 공지는 물론 자사 위협인텔리전스(TI)를 통해 발견되는 취약점 및 패치를 실시간으로 적용하고 있는데, 오히려 KISA의 보안 공지는 너무 느린 감이 있다"며 "RSS 서비스나 TI로 정보를 이미 다 받아 왔는데 향후에 KISA에서 공지가 올라오는 경우가 빈번하다. 취약점이 많아지고 보안 업데이트가 늘어날수록 빠른 전파와 대응 체계 구축이 필요하다"고 말했다.
관련기사
- 태니엄 "의도만 전달해도 AI로 알아서 취약점 패치"2026.06.09
- 정부, '미토스'발 사이버보안 대책 발표...취약점 관리센터 설치2026.05.29
- "AI로 취약점 대응 자동화"…AI스페라, 내달 'AITEM' 출시2026.05.15
- 앤트로픽 "미토스, 한 달 만에 취약점 1만건 찾아"2026.05.25
이용준 극동대 해킹보안학과 교수는 "최근 KISA 취약점 보안공지와 벤더 업데이트가 급증한 것은 소프트웨어 개발 환경에 AI 기능이 필수가 되면서 AI 모델, 연동에 대한 소스코드 취약점과 소프트웨어 공급망 취약점이 증가할뿐 아니라 취약점 탐지 시간도 신속화되고 있다"면서 "따라서 보안 대응 방식도 AI를 활용한 취약점 점검으로 커버리지 확대 및 신속화가 필요하다. 우선순위를 정하고 파급도에 따라 대응하는 것이 필요하다"고 강조했다.
이 교수는 이어 "추가로 버그바운팅(취약점 포상제) 상시화, TI 확대로 외부에서 검증된 취약점을 신속히 패치해야 한다"며 "AI 취약점 분석 에이전트가 휴먼 보안 담당자 개입이 최소화된 AI 취약점 점검 대응 체계에 대한 연구와 실증이 필요하다"고 말했다.
