AI로 취약점이 증가한 지금, 실제로 악용되고 있는 것은 무엇인가?
요약
AI 발전으로 인한 취약점 발견 증가가 실제 악용 사례의 폭발적 증가로 이어지는지 데이터를 통해 분석합니다. 분석 결과, 악용의 핵심은 에지 기기(VPN, 방화벽 등)로의 타겟 편중과 공격 속도의 가속화에 있습니다.
핵심 포인트
- 취약점 악용은 에지 기기(VPN, 게이트웨이)에 집중됨
- 에지 기기를 통한 침해 비중이 3%에서 22%로 급증
- CVE 공개와 동시에 악용되는 속도가 빨라짐
- 단순한 빠른 패치만으로는 보안 대응에 한계가 있음
면책 사항
본 기사는 공개된 정보를 바탕으로 한 개인적인 정리이며, 소속 조직을 대표하는 것이 아닙니다.
인용한 수치는 각 리포트의 공개 시점 기준입니다.
서론
"AI의 진화로 취약점 악용이 급증하고 있다"——뉴스나 리포트에서 자주 접하는 이야기입니다. 확실히, 공개되는 CVE 건수는 매년 기록을 경신하고 있습니다.
하지만, 여기서 한 번 멈춰서 생각해보고 싶었습니다.
"'발견'이 10배에 가깝게 늘어나는 기세로 증가한 만큼, '위험'도 그만큼 늘어나고 있는 것일까?"
궁금해져서 공개된 데이터(CISA KEV, Verizon DBIR, Google GTIG, VulnCheck 등)를 하나씩 대조해 보았습니다. 나온 답은 처음의 직관과는 조금 달랐습니다. 결론부터 말하자면——확실히 악용되는 취약점의 "실수(actual number)"는 늘어나고 있습니다. 하지만 모든 CVE에서 차지하는 "비율"이 폭발적으로 증가하고 있지는 않습니다. 정말로 변한 것은 「속도」와 「편중성」이며, 그 정체는 에지 기기(Edge Device)였습니다. 그리고 수수하지만 중요한 함의로서, 「패치를 빠르게 적용하는 것」만으로는 이제 다 지켜낼 수 없습니다.
먼저 결론부터
- 취약점 악용은 빨라졌다. 하지만 그 가속은 거의 **에지 기기(VPN・방화벽・게이트웨이)**에 편중되어 있다.
- 새로운 것은 "에지가 타겟이 되는 것"이 아닙니다(그것은 수년 전부터 있었습니다). 새로운 것은 두 가지입니다——
① 구성비의 점프: 취약점 악용을 입구로 한 침해 중 에지/VPN이 3%→22%(Verizon DBIR, 약 8배), ② 앞당겨짐: 악용이 "CVE 공개와 동시에, 혹은 그보다 앞서" 발생하는 비율이 늘어나고 있다는 것. - 핵심은 수수합니다.
"빠른 패치"만으로는 구할 수 없다. 노출의 최소화와, (에지 기기에는 EDR을 설치할 수 없으므로) 장치 측면의 탐지가 필요합니다.
예상 독자
- 보안 뉴스에서 "CVE가 역대 최다"와 같은 이야기를 한 단계 더 깊이 이해하고 싶은 분
- 취약점 관리의 우선순위 설정에 고민하고 있는 엔지니어
- "AI로 악용이 늘었다"라는 주장을 데이터로 확인하고 싶은 분
에지 기기가 타겟이 되는 것 자체는 전혀 새로운 일이 아닙니다. Pulse Secure(2019), Citrix ADC(CVE-2019-19781), Exchange의 ProxyLogon(2021), MOVEit(2023)——수년 전부터 주인공이었습니다. 따라서 "에지가 타겟이다!"를 결론으로 내는 것은 "이제 와서" 하는 소리입니다. 이 기사에서 말하고 싶은 것은 타겟이 변했다는 것이 아니라, 그 악용의 "양"과 "속도"가 측정 가능한 형태로 뛰어올랐다는 것, 그리고 그 결과로서 패치 속도로는 따라잡을 수 없게 되었다는 것입니다.
1. 「악용되었다」의 정의 맵
「악용되었다」에는 단계가 있으므로, 먼저 정리해 두겠습니다.
| 용어 | 의미 | 주의사항 |
|---|---|---|
| PoC 공개 | 개념 증명(Proof of Concept) 코드가 존재 | "악용되었다"는 아님 (능력의 유무) |
| 무기화(weaponized) | 실용적인 익스플로잇(exploit)이 성립 | 사용되었다고 단정할 수 없음 |
| in-the-wild에서 악용 | 실제 환경에서 공격에 사용되었다고 보고됨 | 관측·보고 기반 |
| KEV 등록 | CISA 등이 "악용 확인"으로 수록 | 선정·검증을 거친 일부 |
측정 도구도 성질이 다릅니다. CVE 건수는 「발견」이며 악용과는 별개의 문제입니다. KEV는 「확인된 악용」이며, CISA KEV는 무상·저노이즈(low-noise)이지만 보수적이고, VulnCheck KEV는 범위는 넓지만 exploit intelligence를 판매하는 기업의 발표입니다. EPSS(FIRST)는 악용될 확률의 예측이며, 실제 악용 기록이 아닙니다.
그리고 가장 큰 전제로서, 어떤 KEV든 「기지·관측·보고된」 악용 = 하한값이며, 탐지되지 않는 암수가 존재합니다. CISA KEV는 해당 기관의 처리 능력이나 선정 방침에도 좌우됩니다. 따라서 "KEV에 없다고 해서 안전하다"라고 말할 수 없으며, KEV의 증감만으로 악용의 총량을 논할 수도 없습니다.
2. 건수는 늘었다. 하지만 "악용되는 비율"은 폭발하지 않았다
먼저, 흔히 있는 "CVE가 폭발했다"라는 이야기를 정리해 두겠습니다.
공개된 CVE는 2023년 약 29,066건에서 2025년 약 48,185건으로 급증했습니다(2024년은 집계 차이로 인해 40,313건이며, 자주 인용되는 NVD 값은 40,009건입니다). 이에 따라, 실제로 악용된 취약성의 "실수(actual number)"도 늘어나고 있습니다. VulnCheck가 처음으로 악용을 확인한 CVE는 2025년에 884건(전년 대비 +15%)이며, CISA KEV(Known Exploited Vulnerabilities)에 추가된 건수도 2024년 185건에서 2025년 245건으로 늘었습니다. 모수가 늘어나면 악용되는 실수도 늘어난다—이것은 당연한 결과입니다.
하지만, 전체 CVE에서 차지하는 "악용되는 비율"은 건수만큼 급격히 치솟지는 않았습니다. VulnCheck의 집계에 따르면, 2025년에 공개된 CVE 중 연말 시점에 악용이 확인된 것은 **불과 약 1%**였습니다. 발견 건수의 폭발적인 증가에 비해, 악용 "율(rate)"이 비례하여 급증하고 있는 것은 아니라는 뜻입니다.
다만 앞 장에서 언급했듯이 KEV는 하한값이므로, 이것을 "비율이 완전히 정체되어 있다"라고 단정할 수 있는 문제는 아니며, "악용은 공개 건수의 폭발에 비례하지 않는다"라는 관측과 **정합적(consistent)**이다, 라는 정도로 이해해 주시기 바랍니다. 어찌 되었든, CVE의 "건수" 그 자체는 "어떤 것이 지금 당장 위험한가"를 알려주는 경보가 될 수 없습니다.
여기서부터는 개인적인 추측: 이 "비율"은 앞으로 올라갈 것이라 생각한다
여기까지는 데이터에 관한 이야기입니다. 지금부터는 제 사견입니다만——현시점에서는 악용 "율"이 폭발하지 않았으나, 앞으로 AI 활용이 진전됨에 따라 이 비율은 올라가지 않을까라고 생각합니다.
이유는 두 가지입니다. 하나는, 지금까지 악용하기 어려웠던 취약점(깊은 메모리 파괴나 익스플로잇 체인(exploit chain))이 AI를 통해 실용적인 악용 대상으로 변하고 있다는 것입니다. 다른 하나는, AI의 보급으로 공격 측 전체의 기술력이 상향 평준화될 것이라는 점입니다. 즉, 지금까지 악용에 도달하지 못했던 계층이 AI의 보조를 받아 도달할 수 있게 될 것이라는 전망입니다. Google GTIG 역시 AI가 정찰취약점 발견익스플로잇 개발의 각 단계를 가속화하여, "이전보다 더 빠른 악용"으로 이어질 수 있다고 언급하고 있습니다.
물론, 이것은 어디까지나 현시점에서의 제 추측입니다. 2025년 데이터상으로는 이러한 "민주화"의 파도가 아직 뚜렷하게 나타나지 않았습니다(오히려 주역은 고도화된 국가 지원 조직이며, 공개된 PoC에는 AI가 생성한 가짜도 많습니다). 따라서 본 기사의 데이터 부분과는 별개로, "향후 전망"으로서 읽어주시면 감사하겠습니다.
그렇다면, 지금 실제로 일어나고 있는 변화는 어디에 있을까요? 여기서부터가 본론입니다.
3. 변화의 정체 ― 빨라진 악용의 실체는 거의 에지(Edge)에 있다
구성비가 급증했다
Verizon의 2025년판 DBIR(22,052건의 인시던트/12,195건의 침해, 2023년 11월~2024년 10월, 139개국)에는 핵심적인 숫자가 있습니다. 원문의 표현을 빌리자면, "취약점 악용을 행위로 한 침해에서 에지 장비(edge device)와 VPN이 표적이 된 비율은 22%로, 전년도 보고서의 3%에서 약 8배 증가했다"입니다. 여기서 분모는 "전체 침해"가 아니라 **"취약점 악용을 입구로 한 침해"**라는 점에 주의하십시오. 배경을 살펴보면, 취약점 악용은 전체 침해의 20%(전년 대비 +34%)를 차지하며, 초기 접근 수단으로서 인증 정보 악용에 이어 2위를 기록했습니다.
주목해야 할 점은, Verizon 스스로가 이 급증을 "속도"와 결부시키고 있다는 것입니다. 해당 기업은 취약점 악용이 늘어난 두 가지 주요 요인 중 첫 번째로 "특히 제로데이(zero-day) 악용에 의한 에지 장비 및 VPN 타겟팅"을 꼽았습니다.
국가 지원 조직의 움직임도 같은 방향을 가리키고 있습니다. Google GTIG의 연례 보고서 "Look What You Made Us Patch: 2025 Zero-Days in Review"에 따르면, 2025년에 확인된 제로데이는 90건(2024년 78건, 2023년 100건)입니다. 이 중 48%(43건)가 엔터프라이즈 기술(보안 장비, 네트워크 장비, 가상화 인프라 등)을 표적으로 삼았으며, 엔터프라이즈 분야에서 역대 최고 점유율을 기록했습니다. 그 43건 중 보안/네트워크 제품이 약 절반(약 21건)을 차지합니다. GTIG는 국가 지원 액터(특히 중국계)가 에지 장비 및 보안 장비를 우선시하며, 국가 지원 조직의 악용 과반이 그쪽을 향했다고 지적했습니다. 또한, 2025년에 GTIG가 확실히 귀속(attribution)시킬 수 있었던 제로데이는 상용 모니터링 벤더(CSV)가 15건으로 가장 많았으며, 국가 지원 조직(12건, 그중 중국계가 최다)을 처음으로 앞질렀습니다.
※주의사항으로서, GTIG와 Mandiant는 모두 Google의 조직입니다. 따라서 에지(Edge)에 집중된 독립적인 축은 Verizon DBIR이며, Google은 GTIG/Mandiant를 하나의 축으로 보는 것이 정확합니다. 또한 「48%」는 엔터프라이즈 기술 전체의 점유율이며, 에지 기기는 그 일부(보안/네트워크 제품이 약 21건이며, 그 안에 에지 기기가 많이 포함됨)입니다.
「앞당겨짐」도 진행 중 (동일 소스의 전년 대비 + 방증)
속도의 전년 대비는 정의를 넘나들지 않는 동일 소스를 기준으로 봅니다. VulnCheck의 연간 집계에 따르면, 신규로 악용이 확인된 CVE 중 CVE 공개일 또는 그 이전에 악용된 비율이 2024년 23.6%에서 2025년 28.96%로 상승했습니다. 또한 VulnCheck 스스로가 주의를 당부했듯이, 「CVE 공개일 이전」에는 먼저 공개 어드바이저리(Advisory)가 나온 후 악용되어 CVE가 나중에 채번된 “n-day”도 포함됩니다. 따라서 이 수치는 순수한 제로데이(Zero-day)가 아니라, 제로데이와 n-day가 혼재된, 즉 「앞당겨짐」의 상한선적인 지표로 읽는 것이 정확합니다.
왜 에지(Edge)인가
이유는 구조적으로 설명할 수 있습니다. 에지 기기는 인터넷에 노출되어 있고, 인증이 필요 없는 RCE(원격 코드 실행)가 많으며, 한 대만 뚫으면 내부로 직행할 수 있습니다. 그리고 결정적인 것은, 이러한 기기에는 EDR(엔드포인트 탐지 및 대응)이 탑재되지 않아 탐지 텔레메트리(Telemetry)를 수집할 수 없기 때문에, 공격 클러스터가 EDR이 닿지 않는 상자를 의도적으로 노리고 있다고 Mandiant와 GTIG가 지적하고 있다는 점입니다. 랜섬웨어 세력 또한 피싱보다 빠르고, 대규모이며, 탐지되기 어려운 익스플로잇(Exploit) 기반의 액세스를 선호합니다.
참고로 대조적인 사례로, 브라우저/OS의 제로데이가 사라진 것은 아닙니다 (GTIG에 따르면 2025년 브라우저 계열의 제로데이는 역사적인 저수준까지 감소했습니다). 다만 감시·표적형이라는 별개의 패턴으로, 악용의 “속도” 급증은 현재 에지에 집중되어 있습니다.
4. 그래서 “빠른 패치”만으로는 구할 수 없다
모든 것을 패치하는 것은 불가능합니다. 그렇다고 해서 이를 보완하기 위해 “어쨌든 빠르게 패치하자”라고 말하는 것만으로는 부족합니다. 악용이 공개 전에 발생한다면, 그 시간적 창(Window)에는 패치가 존재하지 않기 때문입니다.
이는 추측이 아니라, 근거가 되는 DBIR 자체가 뒷받침하고 있습니다. DBIR에 따르면, **에지 기기 취약점 중 완전히 수정된 것은 약 54%**에 그쳤으며, 수정까지의 중앙값은 32일이었습니다. 게다가 에지 기기의 KEV(알려진 악용된 취약점) 해당 취약점 수정률(53%)은 KEV 전체 수정률(38%)을 상회하고 있어, 조직이 오히려 에지를 우선시하고 있음에도 여전히 따라잡지 못하고 있습니다. 앞 장의 사례(Cisco = 공개 4개월 전, Ivanti = 1개월 이상 전) 모두 「빠른 패치」로는 대응할 수 없었습니다.
따라서 대응은 n-day와 zero-day로 나누어 생각할 수 있습니다.
n-day (패치가 있는 것): KEV 해당 건은 「일(Day)」 단위의 SLA(서비스 수준 협약)에 따라 즉시 적용합니다 (미 연방은 BOD 22-01을 통해 KEV에 기한을 부과하고 있습니다). 에지의 중대한 CVE는 48~72시간의 긴급 대응을 별도로 운영합니다. —— 단, 위의 사례들처럼 이 방법으로도 늦었다는 사실을 직시해야 합니다.
zero-day (공개 전에 오는 것): 패치로 대응할 수 없다는 전제하에 움직입니다.
-
노출 최소화: 에지 기기의 관리 화면/Web UI를 인터넷에 노출하지 않습니다. 액세스 소스를 제한합니다.
-
보완 통제 (Compensating Controls): 다요소 인증(MFA), 세그멘테이션(Segmentation), 불필요한 기능의 비활성화.
-
장치 측 탐지: EDR이 탑재되지 않으므로, 인증서 모니터링, 파일 무결성 확인 (예: Ivanti의 경우 /lib, /usr/lib, /data의 수상한 업데이트), 로그 분석 (VPN 연결을 동반하지 않는 인증 성공, 업무 시간 외 대량 전송, 에지 기기에서 발생하는 내부 RDP/SMB).
우선순위 설정 도구는 KEV(확인) + EPSS(예측) + 노출의 조합입니다. VulnCheck에 따르면 **2025년에 악용이 확인된 CVE 중, 해당 연도(2025년)에 채번된 것은 47.7%**였으며, 나머지 절반 이상은 과거에 공개된 CVE였습니다. “새로운 CVE일수록 위험하다”는 직관은 옳지 않습니다. “신선도”가 아니라 “악용과 노출”로 우선순위를 정해야 합니다. 그리고 단일 소스 의존을 피하기 위해 CISA KEV와 VulnCheck를 병용합니다.
두려워해야 할 것은 48,000건의 홍수가 아닙니다. 공개 전에 에지로 들어오는 소수입니다. 그곳에 탐지와 노출 대책을 집중하는 것이 현재 가장 효과적이라고 생각합니다.
요약
데이터를 직접 살펴보며 알게 된 것은, 단순하지만 다소 의외인 사실이었습니다.
- 「CVE가 과거 최다」라는 것은 사실이며, 악용된 취약점의 실수(Real number)도 증가하고 있다. 다만 **전체에서 차지하는 비율은 약 1%**로, 건수의 폭발이 곧 위험의 폭발을 의미하는 것은 아니다 (※ 단, 이 비율은 AI의 보급으로 인해 향후 높아질 것이라고 개인적으로 보고 있다).
- 정말로 변한 것은 **악용의 “속도”와 “편중”**이며, 그 정체는 에지(Edge) 기기이다. Verizon 또한 「특히 제로데이(Zero-day) 악용에 의한 에지 타겟팅」이라고 명시하고 있다.
- 그리고 악용은 패치(Patch)보다 먼저 오는 추세가 되고 있다. 따라서 빠른 패치만으로는 다 지켜낼 수 없으며, 노출의 최소화와 장치 측면의 탐지가 필요하다.
「AI로 취약성이 늘어났다」는 거대한 주어의 이야기도 중요하지만, 실무를 수행하는 입장에서는 “무엇을 지금 즉시 보호할 것인가” —— KEV와 EPSS, 그리고 노출(Exposure)을 통해 소수로 압축하는 것 —— 이쪽이 훨씬 더 효과적일 것입니다.
참고·출처
- Verizon 「2025 DBIR」
- Google GTIG 「Look What You Made Us Patch: 2025 Zero-Days in Review」 https://cloud.google.com/blog/topics/threat-intelligence/2025-zero-day-review
- CISA KEV 카탈로그 / BOD 22-01 https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- CVE.org / NVD / CVE Details https://www.cve.org/ ・ https://nvd.nist.gov/ ・ https://www.cvedetails.com/browse-by-date.php
- FIRST EPSS https://www.first.org/epss/
- VulnCheck 「State of Exploitation 2026」 (exploit intelligence 판매) https://www.vulncheck.com/blog/state-of-exploitation-2026 ・ 「2026 Exploit Intelligence Report」 https://www.vulncheck.com/blog/2026-vulncheck-exploit-intelligence-report
- Mandiant 「M-Trends」 (Google)
- Palo Alto Unit 42 / Zscaler ThreatLabz (Cisco ASA 사례) https://unit42.paloaltonetworks.com/zero-day-vulnerabilities-affect-cisco-software/ ・ https://www.zscaler.com/blogs/security-research/cisco-firewall-and-vpn-zero-day-attacks-cve-2025-20333-and-cve-2025-20362
- HP Wolf Security (브라우저·제로데이) https://threatresearch.ext.hp.com/reviewing-zero-day-vulnerabilities-exploited-in-malware-campaigns-in-2025/
- DBIR 직접 인용·해설: SecurityWeek https://www.securityweek.com/verizon-dbir-flags-major-patch-delays-on-vpns-edge-appliances/ ・ Censys https://censys.com/blog/postcards-from-the-edge-verizon-dbir-reveals-sharp-increase-in-targeting-of-edge-security-devices/
토론
AI 자동 생성 콘텐츠
본 콘텐츠는 Zenn AI의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기