AI가 내 앱과 사이트의 구멍을 먼저 찾아준다고요? 구글·파이어폭스도 몰랐던 보안 취약점 이야기

📋 목차

1. 내가 쓰는 앱, 사실 구멍이 숭숭 뚫려 있었어요
2. AI가 해커보다 먼저 구멍을 찾아낸다고요?
3. 근데 이게 나랑 무슨 상관이에요?
4. 지금 당장 내가 할 수 있는 것들
5. 자주 묻는 질문

내가 쓰는 앱, 사실 구멍이 숭숭 뚫려 있었어요

어느 날 갑자기 은행 앱에서 "고객님 계좌에서 150만 달러가 이체되었습니다"라는 문자가 온다고 상상해 봐요. 진짜로요. 이게 영화 얘기가 아니에요. 실제로 어떤 은행 파트너사에서 AI 덕분에 이 사기를 딱 막아낸 사례가 최근 공개됐거든요.

우리가 매일 쓰는 파이어폭스(Firefox) 브라우저, 클라우드플레어(Cloudflare, 쉽게 말하면 인터넷 속도랑 보안을 뒤에서 지탱해주는 거대한 인프라 서비스), 마이크로소프트 같은 회사들이요. 솔직히 이런 데는 보안이 철통같을 거라고 생각하잖아요. 근데 그게 아니었어요.

파이어폭스 하나에서만 271개의 보안 취약점이 한 번에 발견됐고, 클라우드플레어에서는 무려 2,000개의 버그가 나왔어요. 취약점이란 건 쉽게 말해서 "해커가 몰래 들어올 수 있는 열린 창문" 같은 거거든요. 그 창문이 이렇게 많았다니, 저도 처음 보고 좀 소름 돋았어요.

주의 내 개인정보, 생각보다 위험할 수 있어요. 우리가 매일 쓰는 앱과 웹사이트는 수천 개의 오픈소스 부품(누구나 가져다 쓸 수 있는 공개 코드)으로 만들어져요. 그 부품 중 하나라도 구멍이 뚫리면 해커는 그걸 타고 들어올 수 있거든요.

AI가 해커보다 먼저 구멍을 찾아낸다고요?

Anthropic(앤스로픽)이라는 AI 회사가 'Project Glasswing(글래스윙 프로젝트)'이라는 걸 시작했어요. 이름이 좀 생소하죠? 글래스윙은 날개가 투명한 나비인데, "겉으로는 안 보이지만 속은 다 들여다보인다"는 의미를 담은 것 같더라고요. 핵심은 이거예요. 나쁜 사람(해커)이 취약점을 발견하기 전에, AI가 먼저 그 구멍을 찾아서 막자는 거예요.

이 프로젝트에서 쓰이는 AI 모델 이름은 'Claude Mythos Preview'예요. 이 AI는 그냥 코드를 읽는 수준이 아니라, 실제 해커처럼 여러 단계에 걸쳐 공격을 시뮬레이션해요. '사이버 레인지(cyber range)'라고 부르는 모의 해킹 훈련장에서 테스트를 완료했는데, AI가 이런 다단계 시뮬레이션을 통과한 건 사실 처음 있는 일이라고 해요.

한 달 만에 얼마나 많은 걸 찾아냈는지 한 번 볼까요?

대상	발견된 취약점	특이사항
Cloudflare (클라우드플레어)	2,000개 (고위험 400개)	버그 발견 속도 10배 이상 증가
Firefox (파이어폭스)	271개	기존 AI 대비 10배 성능
오픈소스 프로젝트 1,000개 이상	6,202개 (고위험)	자동 스캔으로 발견
전체 파트너사 (약 50개)	10,000개 이상	1개월 내 달성

wolfSSL이라는 암호화 라이브러리(은행, 금융 앱 등에서 통신을 암호화할 때 쓰는 부품)에서는 정말 위험한 취약점도 나왔어요. 해커가 이걸 악용하면 가짜 은행 웹사이트를 진짜처럼 보이게 만드는 인증서 위조가 가능했대요. 쉽게 말하면, 내가 접속한 게 진짜 우리은행 사이트인 줄 알았는데 사실 해커가 만든 가짜 사이트일 수 있다는 거예요. 진짜 섬뜩하죠.

TIP 인증서 위조 취약점이란, 브라우저 주소창의 자물쇠 마크(🔒)를 가짜로 만들 수 있는 보안 구멍이에요. 우리가 "자물쇠 있으니까 안전하겠지"라고 믿는 바로 그걸 속이는 거라서 특히 더 위험해요.

근데 이게 나랑 무슨 상관이에요?

"나는 개발자도 아니고, 코드 같은 거 하나도 모르는데 이게 나랑 무슨 상관이야?" 싶을 수 있어요. 근데 진짜로 상관 있어요. 내가 매일 여는 앱, 로그인하는 사이트, 이체하는 뱅킹 앱, 심지어 아이 학교 알림장 앱까지 전부 저런 보안 부품 위에서 돌아가거든요.

이번 프로젝트 덕분에 생기는 좋은 점은 딱 하나예요. 해커가 먼저 구멍을 발견하기 전에 막을 수 있다는 거예요. 보통 보안 취약점이라는 게 발견되면 개발사가 "패치(수정 업데이트)"를 배포하는데, AI 덕분에 이 속도가 10배 이상 빨라졌어요. 우리가 앱 업데이트 알림 받을 때 "귀찮아~" 하고 미루잖아요. 근데 그 업데이트 안에 이런 보안 구멍을 막는 내용이 들어있을 수 있다는 거 알아야 해요.

한 가지 아쉬운 점도 있어요. AI가 너무 빠르게 구멍을 찾다 보니, 개발자들이 그걸 다 검토하고 고치는 속도가 따라가지 못하는 상황이 생기고 있어요. 오픈소스 프로젝트 관리자들은 대부분 자원봉사로 운영하는 경우가 많아서 더 그렇고요. 이 부분은 앞으로 풀어야 할 숙제로 남아있더라고요.

주의 패치가 나왔다고 바로 안전한 건 아니에요. AI가 구멍을 발견해도, 개발자가 고치고 배포하고, 내가 업데이트를 설치하기까지 시간이 걸려요. 그 사이에도 해커는 노리고 있다는 거, 잊으면 안 돼요.

지금 당장 내가 할 수 있는 것들

AI가 취약점을 찾아주는 건 개발사 얘기고, 내가 할 수 있는 건 없는 거 아니냐고요? 아니에요, 있어요. 사실 이게 제일 중요한 부분이에요. 거창한 게 아니라 진짜 생활 속 습관 얘기거든요.

1

앱 업데이트는 미루지 말고 바로 하기. 귀찮아서 "나중에" 누르는 거 저도 알아요. 근데 업데이트 안에 보안 패치가 들어있는 경우가 정말 많아요. 특히 은행 앱, 카카오톡, 브라우저 앱은 알림 뜨면 바로바로 업데이트해 주세요.

2

브라우저 주소창 꼭 확인하기. wolfSSL 취약점처럼 자물쇠 마크도 가짜일 수 있지만, 그래도 일단 주소가 정확한지 꼭 확인해요. 'kakaobank.com'인지 'kakaob4nk.com'인지 한 글자 차이로 완전히 다른 사이트일 수 있거든요. 금융 사이트는 특히 더 꼼꼼하게요.

3

모르는 링크 함부로 클릭 금지. 이메일이나 문자로 온 링크, 특히 "계좌 이상 감지됨", "택배 주소 확인 요망" 같은 거요. AI가 아무리 취약점을 막아줘도, 내가 직접 해커 사이트로 걸어 들어가면 소용없어요. 의심스러우면 그냥 공식 앱 열어서 직접 확인하는 게 제일 안전해요.

TIP 스마트폰 설정에서 '앱 자동 업데이트'를 켜두면 신경 안 써도 알아서 최신 버전으로 유지돼요. iOS는 설정 → App Store → 앱 업데이트 자동화, 안드로이드는 Play Store → 설정 → 네트워크 기본 설정에서 켤 수 있어요!

자주 묻는 질문

Q. 취약점이 발견됐다는 뉴스를 봤는데, 지금 그 앱 쓰면 위험한가요?

A. 취약점이 발견됐다는 뉴스가 나온 시점에는 대부분 이미 패치(수정 버전)도 같이 나오거나 곧 나오는 경우가 많아요. 뉴스 보면 해당 앱 최신 버전으로 업데이트하고, 혹시 업데이트가 없다면 잠깐 사용을 자제하는 게 안전해요. Glasswing 프로젝트처럼 요즘은 취약점을 90일 안에 공개하는 원칙을 지키면서 패치 배포도 함께 진행하거든요.

Q. AI가 취약점을 찾는 게 좋은 건지, 오히려 AI가 해킹에 악용될 수도 있는 거 아닌가요?

A. 맞아요, 진짜 중요한 포인트예요. 솔직히 AI는 양날의 검이에요. 나쁜 쪽에서도 쓸 수 있거든요. 그래서 Glasswing 프로젝트의 핵심 목표가 바로 "나쁜 AI가 악용하기 전에 좋은 AI가 먼저 찾자"예요. 경주처럼 선한 쪽이 계속 앞서가야 하는 구조라고 보면 돼요. 완벽한 해결책은 아니지만, 지금으로선 이게 현실적인 대응 방법이더라고요.

오늘 얘기가 좀 무겁게 느껴졌을 수도 있어요. 근데 저는 사실 이 뉴스 보고 오히려 살짝 안심됐거든요. 누군가가 이미 나보다 먼저 내가 쓰는 앱의 구멍을 찾아서 막으려고 노력하고 있다는 게 느껴졌어요. 물론 완벽하진 않겠지만요. 우리가 할 일은 딱 하나예요. 업데이트 미루지 말고, 수상한 링크 조심하고, 가끔 비밀번호 바꿔주는 것. 별거 아닌 것 같아도 이게 진짜 보안의 시작이에요. 🦋

참고 출처
Project Glasswing: An initial update — Anthropic 공식 리서치 원문 보기

#보안뉴스 #AI보안 #사이버보안 #글래스윙프로젝트 #앱업데이트 #해킹예방 #개인정보보호 #Anthropic