AI가 취약점 찾는 속도, 월 900건 수준까지 튀었다

• AI가 소스코드를 분석해 버그와 취약점을 찾는 ‘자율형 보안 AI’ 흐름이 본격화되고 있음

  • 에포크 AI(Epoch AI)가 공통 취약점 및 노출(CVE) 데이터를 분석했더니, 주요 기술 기업과 오픈소스 프로젝트에서 공개되는 고위험 취약점 수가 최근 급격히 늘었음
  • 대상은 마이크로소프트, 구글, 애플, AWS, 삼성전자, 엔비디아, 인텔, AMD, 퀄컴, 시스코, 오라클, IBM, 레드햇, 어도비, SAP, VM웨어, 깃허브 등 17개 기업
  • 여기에 리눅스, 모질라, 아파치, 오픈SSL 같은 핵심 오픈소스 프로젝트 4곳도 포함됨

• 숫자가 꽤 세다. 2022년부터 2025년까지는 월 150~300건 수준이던 고위험 취약점 공개가 2026년 들어 월 900건에 가까워졌음

  • 기사에서 말하는 고위험 취약점은 ‘Critical’과 ‘High’ 등급
  • 보안 투자를 많이 하는 빅테크와 핵심 오픈소스까지 포함한 집계라, 단순히 작은 프로젝트에서만 터진 현상으로 보기 어려움

• 업계는 이 변화의 배경으로 AI 기반 자동 취약점 탐지 기술을 꼽고 있음

  • 앤스로픽이 4월 공개한 ‘클로드 미토스 프리뷰(Claude Mythos Preview)’가 자율적으로 취약점을 발견하는 모델로 주목받았음
  • 에포크 AI는 이 모델 공개 이후 취약점 보고 증가세가 더 가팔라졌다고 분석함
  • 오픈AI도 GPT-5.5와 GPT-5.5-사이버(Cyber) 모델을 선보이며 AI 기반 보안 연구 경쟁에 들어간 상태임

• 국내 보안 기업 티오리의 박세준 대표는 ‘미토스 하나 때문’으로만 보는 건 조심해야 한다고 봄

  • 그는 미토스 이전에도 대규모 언어 모델(LLM)을 통한 취약점 발견이 이미 빠르게 늘고 있었다고 설명함
  • 앞으로 더 좋은 모델과 이를 뒷받침하는 하네스(Harness)가 많이 나오면 취약점 발견 속도는 더 빨라질 것이라고 전망함
  • 즉 특정 모델의 이벤트라기보다, 보안 연구 방식 자체가 바뀌는 중이라는 얘기임

• 흥미로운 건 분석 대상이 ‘보안 허술한 곳’이 아니라는 점임

  • 구글, AWS, 애플, 삼성전자, 엔비디아, 리눅스, 오픈SSL처럼 보안에 막대한 투자를 하는 조직들이 포함돼 있음
  • 박세준 대표도 이 흐름은 숨기거나 피할 수 있는 성격이 아니라고 봄
  • 개발 조직 입장에서는 취약점 공개 속도가 빨라질수록 패치 대응, 의존성 업데이트, 보안 리뷰 주기도 같이 압박받게 됨

• 보안 패러다임은 ‘사람이 찾고 사람이 막는 구조’에서 ‘AI가 찾고 AI가 막는 구조’로 넘어가는 분위기임

  • 과거에는 보안 전문가가 직접 코드를 분석하고 취약점을 찾는 방식이 중심이었음
  • 이제는 AI가 취약점을 대량으로 찾아내고, 방어 쪽도 AI를 내재화해야 하는 경쟁 국면으로 가고 있음
  • 공격자만 AI를 쓰는 게 아니라 방어자도 AI를 써야 겨우 속도를 맞출 수 있는 상황이 됨

---

기술 맥락

• 여기서 중요한 건 취약점 수가 ‘새로 생긴 것’과 ‘새로 발견된 것’을 구분해야 한다는 점이에요. AI가 코드를 더 넓고 빠르게 훑으면서 숨어 있던 문제가 더 많이 드러나는 상황일 수 있거든요.

• 대규모 언어 모델(LLM)이 보안에 먹히는 이유는 코드가 결국 구조와 패턴의 덩어리이기 때문이에요. 위험한 입력 검증 누락, 메모리 처리 실수, 권한 체크 빠짐 같은 패턴은 모델이 학습하고 비교하기 좋은 대상이에요.

• 하네스가 같이 언급되는 이유도 여기 있어요. 모델이 “이거 취약해 보임”이라고 말하는 것만으로는 부족하고, 실제로 재현하고 검증할 환경이 있어야 해요. 그래서 모델 성능과 실행·검증 환경이 같이 발전할 때 발견 속도가 확 뛰어요.

• 개발팀 입장에서는 이 흐름이 보안팀 업무로만 끝나지 않아요. 의존성 업데이트 자동화, 취약점 스캐닝, 코드 리뷰 정책, 패치 배포 속도까지 전부 연결돼요. 발견 속도가 올라가면 대응 체계도 같은 속도로 빨라져야 하거든요.