"s largest CTF, with Blitzkrieg multiple times. Blitzkrieg was one of Australia"

이 말은 세계적인 보안 팀에서 활동하며 수많은 해킹 대회에서 우승했던 한 보안 전문가의 회고다. 그는 자신이 사랑했던 CTF(Capture The Flag, 보안 취약점을 찾아 깃발을 획득하는 해킹 대회)가 현재 어떤 위기에 처했는지 경고한다. 이제 이 대회는 인간의 지능 대결이 아니라 AI 모델의 성능 대결로 변질되었다.

GPT-5.5 Pro와 Claude 4.5가 가져온 자동화

이번 논의의 중심에는 GPT-4를 시작으로 등장한 최신 모델들이 있다. 특히 Opus 4.5(Anthropic의 고성능 모델)가 출시되면서 중간 난이도의 문제는 물론 일부 어려운 문제까지 에이전트(사용자의 개입 없이 목표를 수행하는 AI 프로그램)가 스스로 풀 수 있게 되었다. Claude Code(터미널에서 직접 코드를 작성하고 실행하는 AI 도구)는 CLI(명령줄 인터페이스, 텍스트로 컴퓨터에 명령을 내리는 방식) 환경과 MCP(Model Context Protocol, AI 모델이 외부 데이터에 접근하게 돕는 표준 규격) 도구들을 연결해 자동화의 문턱을 낮췄다.

최근 공개된 GPT-5.5와 GPT-5.5 Pro는 성능이 더욱 강력해졌다. 벤치마크 수치상 GPT-5.5는 Claude Mythos(Anthropic의 최신 모델 시리즈)와 비슷하며, Pro 버전은 이를 능가하는 수준이다. 이 모델들은 HackTheBox(실제 서버 환경에서 해킹을 연습하는 플랫폼)의 Insane(최상위 난이도) 등급 문제 중에서도 메모리 누수가 없는 힙 폰(Heap Pwn, 프로그램의 메모리 관리 영역인 힙의 취약점을 이용해 권한을 얻는 공격 방식) 문제를 한 번의 프롬프트로 해결해 낸다.

보안 실력보다 토큰 비용이 중요해진 페이 투 윈

예전에는 해커가 직접 취약점을 분석하고 코드를 짜며 정답인 깃발을 찾아내는 과정이 핵심이었다. 하지만 이제는 CTFd API(CTF 대회를 운영하는 플랫폼의 데이터 연결 통로)를 이용해 문제마다 AI 인스턴스를 자동으로 할당하는 오케스트레이터(여러 AI 모델이나 도구를 조율해 복잡한 작업을 수행하게 하는 시스템)를 구축하는 것이 더 중요하다. 쉽게 말하면, 누가 더 똑똑한가가 아니라 누가 더 많은 AI를 효율적으로 돌리는가의 싸움이 된 것이다.

비유하자면 과거의 CTF가 수학 문제를 직접 푸는 경시대회였다면, 지금은 누가 더 성능 좋은 계산기를 많이 구매해 동시에 돌릴 수 있는지를 겨루는 대회와 같다. 이 때문에 alias1(Alias Robotics가 만든 보안 특화 모델) 같은 전문 모델보다 일반적인 프런티어 LLM(거대 언어 모델, 방대한 데이터를 학습한 범용 AI)의 성능이 더 중요해졌다. 결국 더 많은 토큰(AI가 텍스트를 처리하는 기본 단위)을 쏟아부을 수 있는 팀이 더 빠르게 점수판을 점령하는 페이 투 윈(Pay-to-Win, 돈을 쓴 만큼 강해지는 게임 방식) 구조로 변했다.

초보자들이 겪는 변화는 더 치명적이다. 예전에는 쉬운 문제부터 어려운 문제까지 차근차근 풀며 실력을 쌓는 성장 사다리가 존재했다. 하지만 이제 점수판 상위권이 AI 에이전트로 도배되면서, 초보자들은 기초적인 직관을 기르기도 전에 AI에 의존하게 된다. 이는 능동적인 학습과 고통스러운 고민이라는 성장 과정을 생략하게 만들어, 결과적으로 보안 전문가로서의 성장을 방해하는 안티 패턴(Anti-pattern, 효율적이지 않거나 해로운 설계 방식)이 된다.

이제 공개된 점수판은 인간의 성장 기록이 아니라 AI의 연산 능력을 증명하는 지표에 불과하다.