한 보안 연구자가 소프트웨어의 치명적인 결함을 발견해 개발사에 알렸다. 하지만 보고 후 단 9시간 만에 다른 연구자가 독립적으로 동일한 취약점을 찾아내 공개했다. 정보 공개를 늦추기로 한 약속이 무색하게 취약점의 세부 내용이 시장에 빠르게 퍼진 장면이다.

보안 공표의 두 가지 문화

전통적인 보안 업계는 조정된 공개(Coordinated Disclosure, 취약점 발견 시 개발사에 먼저 알리고 수정 시간을 주는 방식) 문화를 따른다. 연구자가 버그를 발견하면 개발사에 비밀리에 알리고 보통 90일의 시간을 준다. 개발사가 패치를 완료하기 전까지 외부인이 구멍을 알지 못하게 하는 것이 핵심이다.

리눅스(운영체제의 핵심 기능을 담당하는 소프트웨어) 진영은 버그는 그저 버그라는 문화를 유지한다. 커널(운영체제의 핵심 기능을 담당하는 소프트웨어)이 잘못 작동한다면 누군가 이를 공격으로 전환할 수 있다고 가정한다. 주의를 끌지 않고 최대한 빠르게 수정하는 방식을 택한다. 수많은 변경 사항 속에 패치를 섞어 넣어 사용자가 자연스럽게 업데이트하도록 유도하는 전략이다.

AI가 바꾼 취약점 탐색 지형

과거에는 취약점 발견 속도가 느렸다. 90일의 엠바고(정보 공개를 일정 기간 늦추는 약속) 기간 동안 다른 사람이 동일한 결함을 찾아낼 확률은 매우 낮았다. 이제는 AI 기반의 스캐닝 도구가 소프트웨어를 실시간으로 훑으며 이 공식이 깨졌다. 발견의 주기가 며칠에서 몇 시간 단위로 압축됐다.

AI가 커밋(코드 변경 사항을 저장소에 기록하는 행위)을 분석하는 비용이 낮아진 점이 결정적이다. 개발자가 올린 코드의 디프(두 코드 버전 간의 차이점)만 보고도 이것이 보안 패치인지 즉각 판별한다. 신호 대 잡음비(유의미한 정보와 불필요한 정보의 비율)가 높아지면서 공격자가 분석해야 할 대상이 명확해졌다.

Gemini 3.1 Pro, ChatGPT-Thinking 5.5, Claude Opus 4.7 모델을 대상으로 실제 테스트를 진행했다. 특정 커밋 번호인 `f4c50a403`을 입력했을 때 세 모델 모두 즉시 보안 패치임을 맞혔다. 문맥 없이 디프(두 코드 버전 간의 차이점)만 제공했을 때 Gemini는 보안 수정이라고 확신했고, GPT는 가능성이 높다고 판단했으며, Claude는 낮게 평가했다.

개발자가 체감하는 변화는 엠바고가 오히려 리스크가 된다는 점이다. 긴 유예 기간은 개발사에게 안일함을 주고 수정 작업의 시급성을 낮춘다. 반면 AI를 무장한 공격 그룹은 엠바고 기간 내내 패치 코드를 분석하며 공격 경로를 설계한다.

보안의 포석은 이제 신뢰 기반의 유예 기간이 아니라 실시간 대응 체계로 옮겨간다. AI는 공격자의 속도를 높였지만 방어자의 패치 속도 역시 가속한다. 과거에는 불가능했던 매우 짧은 엠바고 주기가 AI 덕분에 현실적인 대안으로 부상하고 있다.