"기계가 기계 해킹하는 시대"…AI 챗봇이 취약점 발견 해커 '1위'

"기계들이 기계들을 해킹하는 시대"가 열렸습니다.

미국 워싱턴주 시애틀에 본사를 둔 '크로스보'(Xbow)은 자사의 인공지능(AI) 챗봇이 '해커원 리더보드'(HackerOne Leaderboard)에서 1위를 차지했다고 24일(현지시간) 밝혔습니다.

해커원 리더보드는 보안취약점을 발견해 보고한 해커들의 평판 순위 명단으로 유명합니다.

해커원 홈페이지에 따르면 올해 4∼6월 취약점 공개 프로그램(VDP·Vulnerability Disclosure Program) 부문 순위에서 크로스보는 1천940점으로 인간 해커들을 제치고 세계 1위를 차지했습니다.

버그 현상금 프로그램(BBP·Bug Bounty Program) 부문까지 합한 종합순위에서는 최상위권의 인간 전문가들에게 밀려 4천174점으로 세계 6위에 그쳤으나, 미국 내 순위는 1위였습니다.

BBP와 VDP는 현상금이 걸려 있는지 여부의 차이가 있습니다.

이 회사의 보안부문장 니코 웨이스먼은 "버그 현상금 역사상 최초로 자율 침투 테스터(autonomous penetration tester)가 미국 1위를 차지했다"고 강조했습니다.

그는 자사 제품이 AI로 동작하는 '완전 자율형'의 '동작 침투 테스터'라고 설명했습니다.

'침투 테스터'는 이른바 '화이트해커'의 일종으로, 악의적인 목적이 아니라 전산시스템의 취약점을 발견하고 보안을 개선할 목적으로 시스템에 대한 사이버공격 상황을 시뮬레이션하는 전문가입니다.

인간 전문가를 고용해 침투 테스트를 하려면 단일 시스템에 한 차례 실시하는 데만도 몇 주가 걸리며 비용도 평균 1만 8천 달러(2천400만 원)에 이르기 때문에 자주 실시하기가 어렵습니다.

크로스보는 인간으로부터 입력을 받을 필요 없이도 마치 인간 침투 테스터처럼 동작해 몇 시간 만에 종합적 침투 테스트를 완료할 수 있다는 것이 웨이스먼의 설명입니다.

크로스보 창업자 겸 최고경영자(CEO)인 우허 더모르 옥스퍼드대 모들린 칼리지 전산과 교수는 블룸버그통신에 '침투 테스트를 연속적으로 혹은 적어도 조금 더 빈번하게 실시하려는 고객'이나 '새 제품이나 시스템의 실제 가동을 앞둔 고객'을 자사 침투 테스터 챗봇의 고객층으로 생각하고 있다고 설명했습니다.

그는 "이런 과정을 자동화함으로써 방정식을 완전히 바꿔놓을 수 있다"며 전산시스템이 실전에서 가동되기 전에 취약점을 찾아내는 것이 가능하게 될 것이라고 말했습니다.

유명 벤처캐피털 NFDG의 공동창업자인 냇 프리드먼 전 깃허브 CEO는 크로스허브의 제품이 "지금 제대로 작동하는 것을 보니 멋진 일이지만 한편으로 무섭기도 하다"며 "기계들이 기계들을 해킹하는 시대가 됐기 때문"이라고 말했습니다.

더모르 크로스보 CEO는 2006년에 코드 분석 플랫폼 '젬러'(Semmle)를 만들었으며 2019년에 이를 마이크로소프트 자회사인 깃허브에 매각했습니다.

블룸버그통신에 따르면 작년 1월에 설립된 크로스보는 최근 앨티미터 캐피털이 주도하고 세쿼이아 캐피털과 NFDG가 참여한 새 펀딩 라운드를 통해 7천500만 달러(1천억 원)의 투자를 받았습니다.

(사진=크로스보 홈페이지 캡처, 연합뉴스)