AI가 쏟아낸 취약점, 다 고칠 수 없다…전문가들 "진짜 위험부터 골라야"
등록 2026/07/08 16:49:04
박찬암 스틸리언 대표 "AI 슬롭에 보안 담당자 피로도 커져"
점수 높은 취약점보다 실제 뚫릴 위험 큰 취약점부터 막아야
김호원 학회장 "초거대 모델 경쟁보다 멀티 에이전트가 현실적 대안"
![[서울=뉴시스] 기사 이해를 돕기 위한 이미지 (사진=유토이미지) *재판매 및 DB 금지](https://img1.newsis.com/2026/07/08/NISI20260708_0002181408_web.jpg?rnd=20260708151634)
[서울=뉴시스] 기사 이해를 돕기 위한 이미지 (사진=유토이미지) *재판매 및 DB 금지
[서울=뉴시스]윤정민 기자 = 인공지능(AI) 기술이 발전하면서 사이버 공격과 방어 속도가 모두 빨라지고 있다. 이제는 단순히 해킹 취약점을 많이 찾는 것보다 쏟아지는 경고 속에서 진짜 위험을 골라내는 능력이 중요해졌다. 전문가들은 AI가 만든 저품질 취약점 알림에 대응하기 위해 보안 기준을 바꾸고 AI 권한을 철저히 통제해야 한다고 조언했다.
박찬암 스틸리언 대표는 8일 서울 중구 신라호텔에서 열린 '제15회 정보보호의 날' 행사에서 "AI 때문에 공격이 너무 많이 들어와 보안 담당자의 피로도가 극에 달했다"고 진단했다. 이어 "핵심은 어떤 위협을 중요하게 보고 무엇부터 대응할지 우선순위를 정하는 것"이라고 강조했다.
AI가 만든 취약점 홍수…"진짜 위험부터 골라야"
![[서울=뉴시스] 윤정민 기자 = 박찬암 스틸리언 대표가 8일 서울 중구 신라호텔에서 열린 '제15회 정보보호의 날' 행사에서 발표하고 있다. 2026.07.08. alpaca@newsis.com](https://img1.newsis.com/2026/07/08/NISI20260708_0002181413_web.jpg?rnd=20260708151752)
[서울=뉴시스] 윤정민 기자 = 박찬암 스틸리언 대표가 8일 서울 중구 신라호텔에서 열린 '제15회 정보보호의 날' 행사에서 발표하고 있다. 2026.07.08. [email protected]
박 대표는 기존처럼 취약점 자체의 심각도만 보는 방식은 한계가 있다고 지적했다. 그동안 기업들은 취약점 위험도를 평가할 때 글로벌 표준 점수(CVSS)를 주로 참고했다. 하지만 AI가 취약점 후보를 대량으로 찍어내는 지금은 실제 공격으로 이어질 가능성을 함께 봐야 한다.
그는 실제 악용 가능성을 나타내는 예측 점수(EPSS)와 이미 해커들이 쓰고 있는 취약점 목록(KEV)을 함께 반영해야 한다고 제안했다. 위험 점수가 낮아도 이미 공격에 쓰였거나 외부에 노출된 자산이라면 먼저 막아야 한다는 뜻이다.
박 대표는 AI 보안의 핵심이 '정답률'이 아니라 '실행 권한'이라고도 강조했다. AI가 답변만 하는 단계에서는 잘못된 정보 제공에 그칠 수 있지만 메일 발송·파일 열람·API 호출·내부 시스템 명령까지 수행하면 실제 사고로 이어질 수 있다는 뜻이다.
그는 "AI 에이전트의 손과 발은 API"라며 "AI 에이전트 자체보다도 에이전트가 쓰는 API 취약점을 먼저 살펴봐야 한다"고 말했다. 특히 AI가 업무 시스템과 깊이 연결될수록 실행 로그를 철저히 점검해야 한다. 박 대표는 "AI가 끝까지 침투했을 때 무엇을 할 수 있는지 권한 검토를 더 강화해야 한다"고 덧붙였다.
스틸리언도 이러한 흐름에 맞춰 AI 기반 자동 모의해킹 제품 '에일리언레이(AlienRay)'와 웹 자동화 공격 방어 솔루션 '웹수트(WebSuit)'를 소개했다. 에일리언레이는 AI가 취약점 후보를 찾고 스틸리언 분석가가 이를 검증하는 구조다. 웹수트는 마우스·키보드·스크롤 등 이용자 행동 패턴을 분석해 자동화 공격을 걸러내고 의심 트래픽에는 연산 부담을 주는 방식으로 공격 속도를 늦추는 기능을 제공한다.
박 대표는 AI가 공격과 방어 모두에서 속도를 높이더라도 최종 판단은 여전히 사람의 몫이라고 봤다. 그는 "AI 해킹 도구로 취약점을 찾더라도 마지막에는 사람의 검증을 거친다"며 "아직 AI를 100% 믿을 수는 없다"고 전했다.
미토스 따라잡기 어렵다면…소형 AI 묶어 취약점 찾는다
![[서울=뉴시스] 김호원 한국정보보호학회장(부산대 교수)이 8일 서울 중구 신라호텔에서 열린 '제15회 정보보호의 날' 행사에서 발표하고 있다. (사진=과학기술정보통신부 유튜브 캡처) *재판매 및 DB 금지](https://img1.newsis.com/2026/07/08/NISI20260708_0002181416_web.jpg?rnd=20260708151839)
[서울=뉴시스] 김호원 한국정보보호학회장(부산대 교수)이 8일 서울 중구 신라호텔에서 열린 '제15회 정보보호의 날' 행사에서 발표하고 있다. (사진=과학기술정보통신부 유튜브 캡처) *재판매 및 DB 금지
김호원 한국정보보호학회장(부산대 교수)은 AI 취약점 탐지 경쟁이 단순한 초거대 모델 성능 싸움만은 아니라고 봤다. 미국의 고성능 AI인 '클로드 미토스' 등은 취약점을 찾고 공격 코드를 만들어 실행한 뒤 실패하면 재시도하는 반복 구조를 쓴다.
김 학회장은 한국이 미토스급 초거대 모델을 직접 구축하는 방식은 막대한 그래픽처리장치(GPU)와 전력, 비용이 필요한 '치킨게임'에 말릴 수 있다고 지적했다. 그는 "미국 거대 자본만 가능한 구조"라며 "국가 인프라나 내부 시스템 특성을 해외 AI에 여는 것도 데이터 주권 측면에서 맞지 않는다"고 말했다.
이시간 핫뉴스
그는 대안으로 소형 특화 모델 여러 개를 묶어 검증하는 '멀티 에이전트' 체계를 제시했다. 김 학회장은 "큰 모델 하나를 만들 수 없다면 에이전틱으로 하네스(AI 모델과 외부 도구를 묶어 취약점 분석·실행·검증을 수행하게 하는 구조)를 잘 쓰고 루프 엔지니어링(분석·실행·검증·재시도를 반복하도록 설계하는 방식)을 쓰면 구현 가능하다"고 설명했다.
김 학회장이 대표로 있는 스마트엠투엠은 이러한 구조를 반영한 AI 취약점 탐지 솔루션 '스마트엑스(SmartX)' 공개를 준비하고 있다.
다음 달 중 외부에 공개할 SmartX는 온프레미스형 에이전틱 AI 기반 취약점 탐지 솔루션이다. 다수의 자율 협업 에이전트가 취약점을 교차 검증하고 취약점 식별·검증, PoC 증적 자동 수집, 보안 취약점 점검 보고서 자동 생성까지 지원한다.
김 학회장은 공공기관이나 군, 금융사처럼 내부 소스코드와 취약점 정보를 외부 AI에 맡기기 어려운 곳에서는 온프레미스형 AI 보안 도구가 필요하다고 강조했다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지













![[속보]트럼프 "휴전 끝났지만 협상은 계속 가능"](https://image.newsis.com/2020/12/11/NISI20201211_0000654239_thm.jpg?rnd=20201211094147)







![[속보]방미통위, 가짜뉴스법 규제 대상 플랫폼 8곳 통보…X·틱톡·디시인사이드도 포함](https://image.newsis.com/2025/10/01/NISI20251001_0001958733_thm.jpg?rnd=20251001094006)




















![김혜경 여사, 나토 배우자 프로그램…"미래세대 보호 위한 지혜 나눠야" [뉴시스Pic]](https://image.newsis.com/2026/07/08/NISI20260708_0021356193_web.jpg?rnd=20260708231212)
![이재명 대통령, 트럼프 군함 건조 요청에 실무 협의 이어가기로 [뉴시스Pic]](https://image.newsis.com/2026/07/08/NISI20260708_0021356000_web.jpg?rnd=20260708185846)
![이재명 대통령, 스퇴레 노르웨이 총리와 정상회담…'바이킹 노 젓기' 세리머니도 [뉴시스Pic]](https://image.newsis.com/2026/07/08/NISI20260708_0021355704_web.jpg?rnd=20260708152304)
![조경태, 국힘 윤리위에 장동혁 제명·출당 요구… "당 위기에 빠뜨려" [뉴시스Pic]](https://image.newsis.com/2026/07/08/NISI20260708_0021355661_web.jpg?rnd=20260708145921)








