가까운 미래에는 AI를 활용해 단번에 수십 개의 제로데이 공격을 전 세계 시스템에 동시에 퍼뜨리는 해커가 나타날 수 있습니다. 변형형 폴리모픽 악성코드는 작동하면서 스스로 학습하고 코드를 재작성해 방어망을 무력화할 것입니다. 목적에 맞춰 개발된 대규모 언어 모델(LLM)을 활용하면 초보자도 버튼 하나로 악성 스크립트를 쏟아낼 수 있습니다.

실제로 한 기업용 버그 바운티 플랫폼인 HackerOne의 상위 순위에는 이미 AI 시스템 ‘XBOW’가 올라 있습니다. 이 시스템은 웹 벤치마크의 75퍼센트에서 취약점을 찾아내고 이를 자동으로 공격할 수 있다고 알려져 있습니다. 보안 전문가들은 아직 대규모 피해 사례가 없지만, 언제 ‘안전 벨트 풀고’ 상황이 터질지 모른다는 위기감을 가지고 있습니다.

생성형 AI는 코딩 장벽을 낮추어 ‘바이브 코딩(vibe coding)’이 유행하게 했습니다. 이용자가 구체적 지식이 없더라도 AI에게 원하는 코드를 요청하면 결과가 나오기 때문입니다. 하지만 악의적 목적에 AI를 활용하는 ‘바이브 해킹(vibe hacking)’은 더욱 위험합니다. 보안 스타트업 Luta Security의 대표 케이티 무수리스는 “이제 전문 지식이 부족해도 AI에게 원하는 악성 코드를 만들어 달라고 지시하면 문제를 해결할 수 있는 시점이 올 것”이라고 경고합니다.

2023년 등장한 ‘WormGPT’는 처음부터 악성 코드를 생성하도록 설계된 LLM으로, 다크웹과 텔레그램 등에 빠르게 퍼졌습니다. 이후 FraudGPT 같은 서비스가 이를 대체했으나 많은 경우 기존 챗봇을 우회(jailbreak)하는 수준에 그쳤습니다. 실제로 ChatGPT, 구글 제미니, 클로드(Claude) 등 주요 LLM은 여전히 내부 가드레일이 있지만 이를 회피하려는 커뮤니티와 공격 방법이 계속 개발되고 있습니다.

한편 트렌드마이크로 연구진은 ChatGPT에 보안 연구원 역할을 부여해 파워셸(PowerShell) 기반 악성 스크립트를 생성하는 데 성공했습니다. “치명적인 취약점 공격을 준비하는 모의 훈련”이라는 명분만 대면 AI는 기꺼이 악성 코드를 내놓았습니다. 이렇게 초보 해커들도 사이버 범죄의 진입 장벽을 크게 낮출 수 있지만, 진정한 위험은 이미 경험과 자원을 갖춘 조직화된 해커 그룹에게 있습니다.

경험 많은 해커가 AI를 동력 삼아 공격 규모를 기하급수적으로 확장하면 대응은 사실상 불가능에 가깝습니다. 보안 컨설팅 업체 Hunted Labs의 공동창업자 헤이든 스미스는 “숙련된 해커가 AI를 통해 며칠 걸리던 작업을 30분 만에 해낸다면, 다수의 제로데이 공격이 동시다발적으로 일어날 수 있다”고 설명합니다. 이러한 위협에 대비하려면 ‘악당의 AI’보다 ‘선한 쪽의 AI’ 역량을 강화하는 것이 최선의 방어책입니다.

사이버 보안 분야는 수십 년 간 수작업 해킹에서 자동화 도구 경쟁으로 진화해 왔습니다. AI는 단지 새로운 도구일 뿐이며, 이를 적절히 다룰 줄 아는 이들이 미래의 싸움을 주도할 것입니다. 결국 ‘바이브 해킹’ 시대에도 가장 중요한 것은 AI를 누가, 어떻게 활용하느냐입니다.