인공지능(AI)이 스스로 소스코드를 분석해 버그와 취약점을 찾아내는 ‘자율형 보안 AI’ 기술이 본격화되면서 사이버 보안 시장이 인간 중심에서 AI 중심으로 재편되고 있다는 분석이 나온다.
7일 글로벌 AI 연구기관 에포크 AI(Epoch AI)가 공통 취약점 및 노출(CVE) 데이터를 분석한 결과에 따르면, 주요 21개 글로벌 기업과 오픈소스 프로젝트에서 공개된 고위험(Critical·High) 취약점 수가 최근 급격히 증가한 것으로 나타났다.
에포크 AI의 분석 대상은 마이크로소프트, 구글, 애플, AWS, 삼성전자, 엔비디아, 인텔, AMD, 퀄컴, 시스코, 오라클, IBM, 레드햇, 어도비, SAP, VM웨어, 깃허브 등 글로벌 주요 기술기업 17곳과 리눅스, 모질라, 아파치, 오픈SSL 등 핵심 오픈소스 프로젝트 4곳이다.
글로벌 소프트웨어·클라우드·반도체 생태계 전반을 아우르는 대표 기업과 프로젝트가 포함된 셈이다.
출처: 에포크AI 홈페이지
그러나 2026년 들어 증가세가 급격히 가팔라지면서 ‘High’ 등급 취약점은 월 900건에 육박하는 수준까지 늘어났다.
업계는 이 같은 변화의 배경으로 AI 기반 자동 취약점 탐지 기술의 발전을 꼽는다.
특히 앤스로픽이 지난 4월 공개한 ‘클로드 미토스 프리뷰(Claude Mythos Preview)’는 자율적으로 취약점을 발견하는 기능을 갖춘 모델로 주목받았다.
에포크 AI는 해당 모델 공개 이후 취약점 보고 증가세가 더욱 가팔라진 것으로 분석했다. 오픈AI 역시 GPT-5.5와 GPT-5.5-사이버(Cyber) 모델 등을 선보이며 AI 기반 보안 연구 경쟁에 뛰어들었다.
배경훈 부총리 겸 과기정통부 장관이 최근 기자간담회에서 “수년 내 AI가 AI를 만든다”면서, 미·중급 ‘프론티어 AI’ 독자 개발을 선언한 것도 같은 맥락이다. .앤스로픽의 ‘클로드 미토스’, 오픈AI의 ‘GPT-4o’, 구글 ‘제미나이’ 등 인간 수준의 추론이 가능한 프론티어 AI가 잇따라 등장하며 판도가 바뀐 것이다.
국내 보안 기업 티오리의 박세준 대표는 최근 SNS를 통해 “주요 21개 기업의 Critical·High 심각도 취약점 월별 추이 그래프를 보면 클로드 미소스 프리뷰 이후 기울기가 무척 가파르게 상승하는 것을 볼 수 있다”고 평가했다.
다만 그는 이번 현상을 특정 AI 모델 하나의 영향으로만 해석하는 것은 경계했다.
박 대표는 “흥미로운 점은 사실 미토스 이전에도 거대언어모델(LLM)을 통한 취약점 발견이 꽤 빠른 속도로 늘던 추세였고 그래프에서도 이미 그 초입 부분을 관찰할 수 있다”며 “비단 미토스 때문만은 아니며 앞으로는 더 좋은 모델들과 이를 뒷받침할 하네스(Harness)가 많이 나오면서 취약점 발견 속도는 더욱 가속화될 것”이라고 전망했다.
그는 특히 그래프에 포함된 기업들이 모두 보안에 막대한 투자를 이어온 글로벌 대표 기업들이라는 점에 주목했다.
박 대표는 “앞으로의 흐름은 숨기고자 한다고 숨길 수 없고, 피하고자 한다고 피할 수 있는 것이 아니다”라며 “이제 우리의 미션과 비전에만 초집중해 달려가기도 바쁠 것 같다”고 밝혔다.
업계에서는 이번 현상이 사이버 보안 패러다임 전환의 신호탄이라고 보고 있다.
과거에는 보안 전문가가 직접 코드를 분석하고 취약점을 찾아냈다면 앞으로는 AI가 취약점을 발견하고 또 다른 AI가 이를 방어하는 ‘AI 대 AI’ 경쟁 구도가 본격화될 것이라는 전망이다.
에포크 AI의 데이터가 보여주는 메시지도 분명하다. 이제 사이버 보안은 인간 전문가의 경험과 직관만으로 대응하기 어려운 영역이 되고 있으며, 방어 체계 자체에 AI를 내재화해야 하는 새로운 경쟁 국면에 접어들고 있다는 것이다.
