--- title: "AI가 취약점 찾는 속도, 월 900건 수준까지 튀었다" published: 2026-06-07T08:24:03.921Z canonical: https://jeff.news/article/3811 --- # AI가 취약점 찾는 속도, 월 900건 수준까지 튀었다 에포크 AI가 주요 글로벌 기업과 오픈소스 프로젝트의 CVE 데이터를 분석한 결과, 2026년 들어 고위험 취약점 공개 건수가 급격히 늘었다. 업계는 클로드 미토스 프리뷰 같은 자율형 보안 AI와 대규모 언어 모델 기반 취약점 탐지가 이 흐름을 가속한다고 보고 있다. - AI가 소스코드를 분석해 버그와 취약점을 찾는 ‘자율형 보안 AI’ 흐름이 본격화되고 있음 - 에포크 AI(Epoch AI)가 공통 취약점 및 노출(CVE) 데이터를 분석했더니, 주요 기술 기업과 오픈소스 프로젝트에서 공개되는 고위험 취약점 수가 최근 급격히 늘었음 - 대상은 마이크로소프트, 구글, 애플, AWS, 삼성전자, 엔비디아, 인텔, AMD, 퀄컴, 시스코, 오라클, IBM, 레드햇, 어도비, SAP, VM웨어, 깃허브 등 17개 기업 - 여기에 리눅스, 모질라, 아파치, 오픈SSL 같은 핵심 오픈소스 프로젝트 4곳도 포함됨 - 숫자가 꽤 세다. 2022년부터 2025년까지는 월 150~300건 수준이던 고위험 취약점 공개가 2026년 들어 월 900건에 가까워졌음 - 기사에서 말하는 고위험 취약점은 ‘Critical’과 ‘High’ 등급 - 보안 투자를 많이 하는 빅테크와 핵심 오픈소스까지 포함한 집계라, 단순히 작은 프로젝트에서만 터진 현상으로 보기 어려움 > [!IMPORTANT] > 월 150~300건 수준이던 고위험 취약점 공개가 2026년 들어 월 900건에 육박했다는 게 핵심 수치임. 취약점이 갑자기 생겼다기보다, AI 때문에 ‘찾아내는 속도’가 달라졌다고 보는 쪽에 가까움. - 업계는 이 변화의 배경으로 AI 기반 자동 취약점 탐지 기술을 꼽고 있음 - 앤스로픽이 4월 공개한 ‘클로드 미토스 프리뷰(Claude Mythos Preview)’가 자율적으로 취약점을 발견하는 모델로 주목받았음 - 에포크 AI는 이 모델 공개 이후 취약점 보고 증가세가 더 가팔라졌다고 분석함 - 오픈AI도 GPT-5.5와 GPT-5.5-사이버(Cyber) 모델을 선보이며 AI 기반 보안 연구 경쟁에 들어간 상태임 - 국내 보안 기업 티오리의 박세준 대표는 ‘미토스 하나 때문’으로만 보는 건 조심해야 한다고 봄 - 그는 미토스 이전에도 대규모 언어 모델(LLM)을 통한 취약점 발견이 이미 빠르게 늘고 있었다고 설명함 - 앞으로 더 좋은 모델과 이를 뒷받침하는 하네스(Harness)가 많이 나오면 취약점 발견 속도는 더 빨라질 것이라고 전망함 - 즉 특정 모델의 이벤트라기보다, 보안 연구 방식 자체가 바뀌는 중이라는 얘기임 - 흥미로운 건 분석 대상이 ‘보안 허술한 곳’이 아니라는 점임 - 구글, AWS, 애플, 삼성전자, 엔비디아, 리눅스, 오픈SSL처럼 보안에 막대한 투자를 하는 조직들이 포함돼 있음 - 박세준 대표도 이 흐름은 숨기거나 피할 수 있는 성격이 아니라고 봄 - 개발 조직 입장에서는 취약점 공개 속도가 빨라질수록 패치 대응, 의존성 업데이트, 보안 리뷰 주기도 같이 압박받게 됨 - 보안 패러다임은 ‘사람이 찾고 사람이 막는 구조’에서 ‘AI가 찾고 AI가 막는 구조’로 넘어가는 분위기임 - 과거에는 보안 전문가가 직접 코드를 분석하고 취약점을 찾는 방식이 중심이었음 - 이제는 AI가 취약점을 대량으로 찾아내고, 방어 쪽도 AI를 내재화해야 하는 경쟁 국면으로 가고 있음 - 공격자만 AI를 쓰는 게 아니라 방어자도 AI를 써야 겨우 속도를 맞출 수 있는 상황이 됨 > [!WARNING] > 취약점 발견 속도가 빨라진다는 건 좋은 뉴스이면서 동시에 운영팀에는 압박임. 공개 속도가 빨라지면 패치 지연, 취약한 의존성 방치, 보안 예외 처리도 더 빨리 리스크가 됨. --- ## 기술 맥락 - 여기서 중요한 건 취약점 수가 ‘새로 생긴 것’과 ‘새로 발견된 것’을 구분해야 한다는 점이에요. AI가 코드를 더 넓고 빠르게 훑으면서 숨어 있던 문제가 더 많이 드러나는 상황일 수 있거든요. - 대규모 언어 모델(LLM)이 보안에 먹히는 이유는 코드가 결국 구조와 패턴의 덩어리이기 때문이에요. 위험한 입력 검증 누락, 메모리 처리 실수, 권한 체크 빠짐 같은 패턴은 모델이 학습하고 비교하기 좋은 대상이에요. - 하네스가 같이 언급되는 이유도 여기 있어요. 모델이 “이거 취약해 보임”이라고 말하는 것만으로는 부족하고, 실제로 재현하고 검증할 환경이 있어야 해요. 그래서 모델 성능과 실행·검증 환경이 같이 발전할 때 발견 속도가 확 뛰어요. - 개발팀 입장에서는 이 흐름이 보안팀 업무로만 끝나지 않아요. 의존성 업데이트 자동화, 취약점 스캐닝, 코드 리뷰 정책, 패치 배포 속도까지 전부 연결돼요. 발견 속도가 올라가면 대응 체계도 같은 속도로 빨라져야 하거든요. ## 핵심 포인트 - 주요 21개 기업과 오픈소스 프로젝트의 고위험 취약점 공개 건수가 2026년 들어 월 900건에 가까워짐 - 분석 대상에는 마이크로소프트, 구글, 애플, AWS, 삼성전자, 엔비디아, 리눅스, 오픈SSL 등이 포함됨 - 앤스로픽의 클로드 미토스 프리뷰 공개 이후 증가세가 더 가팔라졌다는 해석이 나옴 - 보안 업계는 AI가 취약점을 찾고 AI가 방어하는 ‘AI 대 AI’ 구도가 본격화될 것으로 봄 ## 인사이트 이건 ‘AI가 보안도 한다’ 수준의 얘기가 아니라, 취약점 발견 속도 자체가 바뀌는 신호에 가깝다. 한국 개발자 입장에서도 보안팀만의 이슈가 아니라, 코드 리뷰·의존성 관리·패치 운영 방식 전체를 다시 봐야 하는 흐름이다.