AI가 버그 헌팅을 재편하고 있다

버그 바운티 프로그램이 전문적인 보안 관행에서 주류 기업 정책으로 자리잡은 지 10년이 지난 지금, 새로운 물결의 AI 도구들이 취약점 연구의 경제 구조를 뒤흔들고 있다. 에이전트형 AI 시스템은 소프트웨어 약점을 찾아내고 익스플로잇을 개발하는 능력 모두에서 개선되고 있어, 조직들이 자체적으로 더 많은 버그를 발견하는 한편 공개 프로그램에도 제출물이 대량으로 쏟아지고 있다.

그 결과 연구자, 기업, 공격자 사이의 군비 경쟁이 심화되고 있다. 자신의 연구에 AI를 활용하기 위한 도구와 방법을 개발한 독립 보안 연구자 Joseph Thacker는 올해까지 제출한 버그가 작년 이맘때보다 대략 세 배가량 늘었다고 말했다. 그는 이런 압박이 먼저 대기업에 가해질 것으로 보고 있다.

"Google 같은 회사는 작년보다 버그 보상금에 2배에서 10배 더 지출할 것이라고 생각합니다,"라고 Thacker는 말했다.

그는 대형 기술 기업들은 이 증가분을 흡수할 수 있지만 많은 다른 기업들은 그렇지 못하다고 덧붙였다. 그의 관점에서는 AI 시스템이 이미 쉬운 취약점들을 찾아내고 있으며, 내년에는 많은 저위험(손쉽게 발견 가능한) 버그들이 이미 발견되어 제출할 수 있는 버그가 줄어들 수 있다고 보고 있다.

공개 기한이 압박받다

이 같은 변화는 책임 있는 공개(responsible disclosure)에 관한 오랜 규범도 흔들고 있다. 보안 연구자 Himanshu Anand는 이달 초 90일 공개 창(90-day disclosure window)은 버그 발견자가 드물고 익스플로잇 개발이 느렸던 시대를 전제로 만들어졌다고 지적하며, 대형 언어 모델이 두 타임라인을 모두 압축했다고 썼다.

이 압축은 특히 공격자가 결함을 더 빨리 발견하고 무기화할 수 있게 되면 개발자들이 패치를 더 빨리 내놓도록 압박할 수 있다. 또한 조직들이 내부적으로 패치를 배포하는 속도를 개선하도록 강제할 수 있는데, 패치는 충분한 테스트 없이 배포하면 새로운 문제를 야기할 수 있기 때문에 항상 어려운 과정이었다.

버그 바운티 프로그램 자체도 이미 극적으로 진화해 왔다. Apple이 2016년에 바운티를 시작했을 때 최고 보상금은 $200,000였다. 회사는 2019년에 이를 $1,000,000로 올렸고, 작년에는 $2,000,000로 다시 인상했다.

이제 AI가 버그 공급량과 익스플로잇 생성 속도를 모두 증가시킴에 따라 연구자들은 취약점 연구의 다음 단계가 이전과는 매우 다르게 보일 가능성이 높다고 말한다.

출처:

와이어드