인공지능(AI)이 소프트웨어 취약점 탐색에도 활용되면서 기업과 공공기관의 보안 전략이 바뀌고 있다. AI로 새 취약점이 쏟아지는 속도를 기존 방식의 보안 업데이트가 따라가지 못하면서, 모든 취약점을 순서대로 고치는 대신 실제 공격 가능성이 높은 취약점부터 우선 조치하는 '위험기반 패치(Risk-based Patching)'가 새로운 기준으로 떠오르고 있다. 30일 국내외 사이버보안 기관과 보고서를 종합하면 국제 보안협의체 FIRST는 올해 전 세계 공개 취약점(CVE)이 약 6만6000건에 이를 것으로 전망했다. 이는 4개월 전 예측보다 46.3% 높은 수준이다. CVE는 소프트웨어 보안 취약점에 부여되는 국제 공통 식별번호다. 기업과 기관은 이를 기준으로 자사 시스템의 영향을 확인하고 보안 업데이트를 진행한다. FIRST는 취약점 증가가 곧 소프트웨어 보안 수준 악화를 의미하는 것은 아니라고 설명했다. 보안 연구가 활발해지고 신고 체계가 확대된 영향이 크며, AI를 활용한 취약점 탐색도 공개 건수 증가를 가속하는 요인으로 꼽힌다고 분석했다. 취약점은 역대 최대…패치는 두 달 가까이 걸려 취약점은 빠르게 늘고 있지만 실제 조치는 그 속도를 따라가지 못하고 있다. 보안기업 에지스캔(Edgescan)의 '2026 취약점 통계 보고서'에 따르면 지난해 공개된 CVE는 4만8185건으로 역대 가장 많았다. 반면 심각도가 높은 애플리케이션 취약점을 수정하는 데 걸린 평균 기간은 54.81일에 달했다. 실제 보안 업데이트 규모도 커지고 있다. 보안기업 퀄리스(Qualys)에 따르면 마이크로소프트(MS)는 이달 정기 보안 업데이트에서 모두 206개의 취약점을 수정했다. 이 가운데 33개는 '치명적(Critical)', 167개는 '중요(Important)' 등급이었다. 이미 공격 사실이 공개된 취약점도 3건 포함됐다. 유형별로는 시스템 권한 상승(Elevation of Privilege) 취약점이 65건으로 가장 많았고, 외부에서 악성코드를 실행할 수 있는 원격코드실행(RCE) 취약점도 55건에 달했다. 오픈소스 암호화 라이브러리 오픈SSL(OpenSSL)도 최근 18개의 취약점을 수정했다. 이 가운데 고위험 취약점 1건은 미국 AI 기업 앤트로픽의 AI 모델 클로드를 활용한 연구 과정에서 발견됐다. 오픈SSL은 웹사이트와 서버, 애플리케이션 전반에서 사용하는 핵심 암호화 소프트웨어다. 이런 기반 소프트웨어에서 취약점이 발견되면 어떤 제품과 서비스가 영향을 받는지 파악하는 데만도 상당한 시간이 소요된다. '점수 높은 순'은 한계…실제 공격 가능성이 새 기준
국내 침해사고도 증가세다. 과학기술정보통신부와 한국인터넷진흥원(KISA)에 따르면 지난해 침해사고 신고는 2383건으로 전년보다 26.3% 증가했다. 서버 해킹이 44.2%로 가장 많았고 분산서비스거부(DDoS) 공격(24.7%), 악성코드 감염(14.9%)이 뒤를 이었다. 그동안 기업과 기관은 공통취약점등급시스템(CVSS) 점수를 기준으로 높은 점수의 취약점부터 순차적으로 조치해 왔다. 하지만 같은 취약점이라도 인터넷 노출 여부와 실제 악용 사례, 공격 자동화 가능성에 따라 위험도는 크게 달라진다. 미국 사이버보안·인프라보안국(CISA)도 최근 연방기관에 배포한 지침에서 CVSS 점수뿐 아니라 외부 노출 여부와 실제 공격 여부, 자동화 가능성 등을 함께 고려해 보안 업데이트 우선순위를 결정하도록 권고했다. 최고 위험 취약점은 최단 3일 안에 조치하도록 했다. 보안업계는 AI 확산으로 취약점 발견 속도가 더욱 빨라질 것으로 예상되는 만큼 앞으로는 단순히 '많이 고치는 것'보다 실제 공격 가능성이 높은 취약점을 먼저 선별해 대응하는 능력이 기업 보안 경쟁력의 핵심이 될 것으로 보고 있다.

kxmxs4104@news1.kr