이원영 기자
보안 취약점을 발견한 해커에게 기업이 포상금을 지급하는 플랫폼인 해커원(HackerOne)에서는 보안 연구자 기여도나 실적을 바탕으로 순위를 매긴 리더보드가 공개되고 있다. 시애틀에 본사를 둔 AI 보안 엔지니어링 기업 XBOW는 동명 AI 도구가 해커원 리더보드에서 1위를 차지했다고 발표했다.
해커원에서는 전체 사용자의 세계적 순위, 월간 및 연간 기여도, 특정 카테고리 평가, 특정 기업 버그 신고에 얼마나 기여했는지 외에도 국가별 해커 순위가 리더보드에 표시된다. 랭킹은 신고한 취약점 수, 받은 포상금 총액, 버그 신고의 품질과 낮은 오류를 고려한 신뢰도 점수, 얼마나 중요한 버그를 신고했는지에 대한 임팩트 점수 등을 바탕으로 판단된다.
해커원 리더보드에서 AI가 완전 자동으로 침투 테스트를 실행해 취약점을 발견하고 리포트 생성까지 수행하는 자율형 침투 테스터 XBOW가 지난 4월부터 6월까지 취약점 공개 프로그램 기관 부문에서 인간 해커를 제치고 1위를 획득했다.
물론 6월 25일 기준 랭킹을 보면 미국 내 랭킹은 1위지만 버그 포상금 프로그램을 포함한 종합 랭킹에서는 세계 6위에 그쳐 세계 최고 수준 인간 전문가에는 미치지 못하는 결과를 보였다.
XBOW는 AI 주도로 취약점을 발견·공격·증명 리포트 제출을 자동으로 수행하는 기업용 서비스로 인간 개입 없이 리포트 생성까지 담당하기 때문에 수천 개에 이르는 웹 애플리케이션을 동시에 쉽게 스캔할 수 있는 등 확장성이 뛰어나다. 반면 AI에 의한 취약점 발견은 놀라울 정도로 효율적이지만 AI 자동 스캔은 오랫동안 오검출에 시달려왔으며 과제는 탐지가 아닌 정확도에 있다. XBOW는 정확도를 확보하기 위해 발견한 취약점을 하나씩 검증하는 자동 검토 기능 개념을 개발했다.
XBOW는 취약점 1,060건을 신고했으며 이 중 130건이 신고로 인해 해결됐고 303건이 내용을 확인해 대응 여부를 검토 중으로 표시됐다. 2025년 4월부터 6월까지 제출된 취약점 중 프로그램 소유자에 의해 중요도가 치명적으로 분류된 게 54건, 높음이 242건, 중간이 524건, 낮음이 65건으로 충분히 영향력 높은 신고를 할 수 있었다고 XBOW는 밝혔다.
XBOW 보안 부문 책임자인 니코 바이스만(Nico Weisman)은 버그 바운티 역사상 처음으로 자율형 침투 테스터가 미국 1위를 획득했다며 이번 성과를 강조했다. 깃허브 전 CEO인 냇 프리드먼(Nat Friedman)은 XBOW 성과에 대해 이제 AI에 의한 취약점 테스트 도구가 정상적으로 작동하는 걸 보는 건 흥미롭지만 기계가 기계를 해킹하는 시대에 들어섰다는 점을 생각하면 조금 무섭기도 하다고 말했다.
해커원 공동 창업자인 미히일 프린스(Michiel Prins)는 XBOW 같은 AI 해킹봇 기업은 보안 분야에 훌륭한 혁신을 가져다주며 취약점 발견과 대응을 가속화하고 있지만 AI는 스스로 해킹을 학습하는 게 아니며 해커가 AI를 훈련시키는 것이라고 밝혔다. 이어 이 피드백 루프에서 인간 연구자는 여전히 중요한 파트너이며 AI는 양에서는 앞서고 있지만 비즈니스에 가장 큰 영향을 미치는 발견을 제공하는 건 여전히 인간이라고 강조했다. 또 해킹봇은 자동화를 활용한 인간 창의성에 의해 추진되는 진화 다음 단계에 불과하다는 말로 XBOW 성과를 인정하면서도 인간 해커를 존중하는 자세를 보였다.
XBOW가 어떻게 보안 취약점을 발견하고 AI 자율형 침투 테스터 특유의 대량 오검출을 회피하고 있는지에 대한 자세한 내용은 오는 8월 2일부터 5일간 개최되는 보안 콘퍼런스(Black Hat Briefings)에서 공개될 예정이다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
정용환 기자
