OWASP 서울 챕터 5월 세미나서 AI 기반 취약점 탐지 실무 방법론 및 한계 공유
김태범 크리밋 CTO “초기 AI 도입 이점 컸으나 현재는 AI 쓰레기 부작용 심각... 가치 판단이 핵심”

[보안뉴스 조재호 기자] “이제 취약점 탐색은 AI의 몫입니다. 해킹의 기술적 진입 장벽이 무너진 시대에서 보안의 진정한 가치는, 쏟아지는 기계적 산출물 속에서 치명적인 1퍼센트를 가려내는 ‘가치 판단’의 영역으로 이동하고 있습니다.”

AI 도구 활용으로 취약점 탐지 분야에서 비약적 발전을 이룬 보안 생태계가 이제는 무분별한 취약점 리포트의 홍수에 시달리고 있다. 오픈소스 웹 애플리케이션 보안 프로젝트(OWASP) 서울 챕터의 5월 세미나에서는 무분별한 AI 제보의 홍수 속에서도 유효한 가치를 찾아내는 기술적 해법을 모색했다.


취약점은 AI가 찾지만, 최종 판단과 책임은 인간의 몫
‘AI 시대 당신도 CVE의 주인공입니다’를 주제로 발표에 나선 김태범 크리밋 CTO는 AI로 취약점을 찾고 실제 CVE 등재까지의 경험담을 공유하며, 초기 시행착오부터 검증 구조 개선에 이르는 과정을 소개했다.

김 CTO는 “AI 시대에는 취약점 후보를 발견하기 위한 행동 비용이 크게 낮아지면서, 기존 취약점 발견 과정의 병목이 빠르게 AI로 대체되고 있다”며 “하지만 현재 오픈소스 생태계는 맹목적인 AI 도구 활용으로 발생한 무분별한 리포트, 이른바 AI 쓰레기(AI Slop)로 인해 메인테이너들이 심각한 피로감을 호소하는 부작용을 겪고 있다”고 지적했다.

AI가 있지도 않는 가짜 개념증명(PoC) 코드를 생성하는 환각(Hallucination) 현상을 언급한 김 CTO는 “현재 많은 대응 체계는 여전히 인간 중심의 전통적인 분류(Triage) 체계에 머물러 있어, 검증과 책임 판단의 병목이 커지고 있다”라며 “AI의 결과를 신뢰 가능한 판단과 대응으로 연결할 수 있는 운영 구조를 만드는 것이 AI 시대의 보안 역량이 될 것”이라고 말했다.


가성비 높인 화이트박스 워크플로우... ‘청크’ 분할로 탐지 효율 극대화
두 번째 세션은 ‘AI 기반 취약점 탐지 워크플로우 구축기’를 주제로 신현서 고려대 학생이 나섰다. 자체 구축한 AI 파이프라인을 통해 그라파나(Grafana) 등 유명 오픈소스에서 49건의 버그바운티 보상을 획득하고 해커원 한국 지역 1위를 기록한 경험이 공유됐다.

그는 환경에 맞춰 멀티 에이전트 시스템(MAS)과 워크플로우를 전략적으로 구분해야 한다고 강조하며, 서비스 URL만 주어지는 블랙박스 모의해킹 환경에서는 응답에 따라 자율적으로 행동을 결정하는 MAS가 유리하지만, 코드가 주어지는 오픈소스 화이트박스 분석에서는 정형화된 워크플로우가 비용과 정확도 측면에서 효율적이라고 설명했다.

특히 워크플로우의 핵심 전처리 단계에서 ‘의미 단위 청크 분할’의 중요성을 강조했다. 방대한 오픈소스 코드를 한번에 LLM에 밀어 넣으면 컨텍스트의 한계와 비용 부담 문제가 발생하기 때문이다. 따라서 코드의 의미가 유지되는 묶음인 청크(Chunk)로 분해하는 작업이 필수적이다. 여기서 분할된 청크를 비교적 저렴한 모델(GLM)에 넣어 가설을 생성하고, 여기서 걸러진 후보군만 고성능 모델로 최종 검증해 한정된 비용으로 고효율 AI 탐지 파이프라인을 운영할 수 있었던 노하우를 공유했다.

탐지를 넘어선 책임의 영역, 지능형 오케스트레이터의 부상
이날 세미나는 AI가 버그 바운티의 진입 장벽을 극적으로 낮춰 초기의 달콤한 이득을 안겨주었으나, 이제는 역으로 AI 쓰레기라는 구조적 공해를 발생시키고 있는 과도기적 현실을 짚었다. 쏟아지는 제보 속에서 유의미한 취약점을 선별하고, 서비스 간 복잡한 정책적 책임 경계까지 판단하는 것은 ‘인간의 통찰력’이다. 단순 프롬프트 입력을 넘어 탐지 프로세스와 검증 시스템 전체를 조율할 지능형 오케스트레이터(Orchestrator)로 보안 실무자의 체질을 개선해야 한다는 고민을 공유했다.

[조재호 기자(zephyr@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>