AI가 제로데이(Zero-day) 취약점 공격 시간을 1년에서 하루로 단축하며 1분까지 향하고 있다 — Zero-Day Clock의 보안 시간

사이버 보안(Cybersecurity) 업계는 AI 지원 도구가 그 어느 때보다 빠르게 취약점(Vulnerabilities)을 찾아내고 있다는 소식으로 떠들썩합니다. 기술 전문 매체가 아닌 곳에서도 Anthropic의 Mythos 봇이 비유적인 의미의 슈퍼무기(Superweapon)로 간주된다는 등의 주제를 다루었습니다. 우리는 업계 표준인 90일 취약점 공개 기간(Vulnerability disclosure window) 또한 사라져 가고 있다는 여러 경고 중 하나에 대해 논의한 바 있습니다. 말은 아름다울 수 있지만, 프로그래머와 정치인들은 시를 사용하지 않으므로 이 주제에는 숫자가 적절한 도구입니다. Zero-Day Clock (ZDC)은 시대 전반에 걸친 느슨한 보안의 결과를 명확하게 보여주기 위해 숫자를 사용합니다.

이 웹사이트는 Sysdig의 Sergej Epp에 의해 만들어졌으며, 거의 모든 주요 기술 및 사이버 보안 기업이 서명자로 참여하고 있습니다. 핵심 내용은 매우 간단합니다. 비유적인 의미의 AI 특이점(AI singularity)으로 인해 취약점이 발견된 시점부터 그것이 악용(Exploited)되기까지의 평균 시간(Mean time)이 2021년의 거의 1년에서 2026년에는 단 하루 조금 넘는 수준으로 급감했습니다(그리고 계속 진행 중입니다). 데이터의 추세는 고통스러울 정도로 명확하게 보이며, ZDC는 2027년에 이 수치가 1시간으로 떨어지고 결국 1분까지 떨어질 것이라고 예측합니다.

하지만 이것만이 충격적인 그래프는 아닙니다. 제로데이(Zero-day) 공격, 즉 악의적인 행위자들이 공식 발표가 나오기 전에 이미 이를 사용하고 있었음을 의미하는 공격의 비율은 5년 전 31%에서 현재 무려 73.2%로 상승했습니다. 여기서 악용되지 않은(Non-exploited) 취약점의 비율이 2021년 약 60~70%에서 현재 고작 25%로 떨어졌음이 명확하게 보입니다... 하지만 이는 공개 시점 기준입니다. X축을 추적해 보면, 현재 매우 적은 수의 취약점만이 2주 이상 악용되지 않은 채로 남아 있으며, 작년의 약 24%와 대조적으로 6주가 지나면 단 하나도 사용되지 않은 채 남아 있지 않습니다.

또한, 이 그래프들에 사용된 데이터셋이 상당히 광범위하다는 점을 주목할 필요가 있습니다. 이 데이터셋은 알려진 악용 사례가 있는 공개된 취약점만을 추적합니다. 즉, 우리가 보고 있는 것은 빙산의 일각일 가능성이 높으며, ZDC 연구진은 독자들에게 "우리는 공개적으로 확인 가능한 익스플로잇(Exploit)만을 추적한다. 비공개 또는 국가 주도의 익스플로잇은 더 일찍 존재할 수 있다"라고 상기시킵니다. 컴퓨터 보안 붕괴의 타임랩스(Time-lapse)는 ZDC의 특정 페이지에 상세히 나와 있습니다.

그렇다면 무엇을 할 수 있을까요? ZDC 연구진은 행동 촉구(Call to action)를 발표했습니다. 우선, 비교적 받아들이기 쉬운 것들부터 시작합니다. 모든 펌웨어(Firmware), 소프트웨어(Software), 프레임워크(Framework), 하드웨어 플랫폼(Hardware platform)이 기본적으로 모든 보안 기능을 활성화하도록 보장하고, 가능한 한 항상 제로 트러스트 아키텍처(Zero-trust architecture)를 채택해야 합니다. 취약점의 70%가 메모리 안전성 버그(Memory safety bugs)의 결과이기 때문에, C 또는 C++ 대신 Rust나 다른 메모리 안전 언어(Memory-safe language)를 사용하는 것은 필수적입니다.

ZDC는 또한 시스템이 기본적으로 폐기 가능(Disposable)하도록 설계될 것을 권장합니다. 예를 들어, 공격당한 머신을 쉽게 복구할 수 있어야 한다는 의미입니다. AI 봇이 공격자들에게 힘을 실어주고 있기 때문에, ZDC는 방어자들이 자신의 시스템, 소스 코드 및 로그에 대해 완전한 지식을 가질 수 있도록 무료 및 오픈 소스 AI 기반 도구(오픈 소스 Mythos를 생각해보세요)의 가용성을 권장합니다.

그다음은 까다로운 문제들입니다. 가장 큰 권장 사항은 소프트웨어 제조사가 피해를 주는 보안 취약점에 대해 책임을 지게 만드는 것입니다. 잘 알려진 사이버 보안 전문가 Bruce Scheiner는 다음과 같이 설명합니다: "지난 150년 동안 정부에 의해 강제되지 않고 안전성이나 보안성을 개선한 산업은 없었습니다." 그는 추가로, 보안이 취약하고 기술적으로 결함이 있는 제품이라 할지라도 시장에 먼저 출시되거나 사용하기 더 쉽다면 매번 더 잘 개발된 경쟁사들을 이길 것이라고 지적합니다.

Tom's Hardware의 최고의 뉴스와 심층 리뷰를 귀하의 편지함으로 직접 받아보세요.

다음으로, 공격자에게 시간적 우위를 제공하게 되는 AI 관련 법률을 개정하라는 요구가 있습니다. EU의 "Stop the Clock"과 같이 의도는 좋으나 충분히 고려되지 않은 사례들이 이에 해당합니다. 이러한 조치들은 AI의 확산을 늦추려는 의도로 설계되었으나, 결과적으로 방어 측의 속도를 늦춤으로써 보안에 해를 끼치게 됩니다. 반면 사이버 공격자들은 법률이나 가이드라인을 따르는 경향이 없으며, 오히려 그들의 활동을 가속화할 뿐입니다.

ZDC는 또한 소프트웨어 보안이 지정학적 우선순위를 가져야 하며, 이에 상응하는 예산 배정과 함께 공공의 관심사가 되어야 한다고 믿습니다. 마지막으로, ZDC는 법률 제정 과정에 사이버 보안 연구자들을 포함할 것을 촉구합니다. 일반적으로 법을 만드는 사람들은 자신들이 규제하거나 제거하려는 항목을 완전히 이해하지 못하며, 이는 인류 역사 전반에 걸쳐 지속되어 온 현상이기 때문입니다.

최신 뉴스, 분석 및 리뷰를 피드에서 받아보시려면 Google 뉴스에서 Tom's Hardware를 팔로우하거나, 즐겨찾는 소스로 추가하세요.

Bruno Ferreira는 Tom's Hardware의 기고가입니다. 그는 개발자로서의 경력과 더불어 PC 하드웨어 및 다양한 잡다한 분야에서 수십 년의 경험을 쌓았습니다. 그는 세부 사항에 집착하며 자신이 좋아하는 주제에 대해 길게 늘어놓는 경향이 있습니다. 그렇지 않을 때는 주로 게임을 하거나 라이브 음악 공연 및 페스티벌을 즐깁니다.