【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]해커 AI가 취약점 쏟아내자…보안업계 '무조건 패치' 한계 왔다

온카뱅크관리자

2026-06-30 06:27:28

<div id="layerTranslateNotice" style="display:none;"></div> AI 활용 확산에 공개 취약점 급증…올해 CVE 6만6000건 전망 "점수 높은 순으로 못 고친다"…실공격 '위험기반 패치' 확산 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="xoUlpNOc1Q">
 <figure class="figure_frm origin_fig" contents-hash="4c41b29f6d3c1153883ace9eaed3387516d17549a980b0b35e95cbf119193b56" dmcf-pid="ytA8j02uGP" dmcf-ptype="figure">
 <img alt="AI가 소프트웨어 취약점 탐색에 활용되면서 공개 취약점 증가와 패치 우선순위 선별이 보안 현장의 과제로 떠오르고 있다. 사진은 AI로 생성한 이미지." class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/30/NEWS1/20260630062232663cshn.jpg" data-org-width="1400" dmcf-mid="PuLKnZztYM" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/30/NEWS1/20260630062232663cshn.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 AI가 소프트웨어 취약점 탐색에 활용되면서 공개 취약점 증가와 패치 우선순위 선별이 보안 현장의 과제로 떠오르고 있다. 사진은 AI로 생성한 이미지.
 </figcaption>
 </figure>
 (서울=뉴스1) 김민수 기자 = 인공지능(AI)이 소프트웨어 취약점 탐색에도 활용되면서 기업과 공공기관의 보안 전략이 바뀌고 있다. AI로 새 취약점이 쏟아지는 속도를 기존 방식의 보안 업데이트가 따라가지 못하면서, 모든 취약점을 순서대로 고치는 대신 실제 공격 가능성이 높은 취약점부터 우선 조치하는 '위험기반 패치(Risk-based Patching)'가 새로운 기준으로 떠오르고 있다.
 30일 국내외 사이버보안 기관과 보고서를 종합하면 국제 보안협의체 FIRST는 올해 전 세계 공개 취약점(CVE)이 약 6만6000건에 이를 것으로 전망했다. 이는 4개월 전 예측보다 46.3% 높은 수준이다.
 CVE는 소프트웨어 보안 취약점에 부여되는 국제 공통 식별번호다. 기업과 기관은 이를 기준으로 자사 시스템의 영향을 확인하고 보안 업데이트를 진행한다.
 FIRST는 취약점 증가가 곧 소프트웨어 보안 수준 악화를 의미하는 것은 아니라고 설명했다. 보안 연구가 활발해지고 신고 체계가 확대된 영향이 크며, AI를 활용한 취약점 탐색도 공개 건수 증가를 가속하는 요인으로 꼽힌다고 분석했다.
 <h3 contents-hash="de7a5585168d1d3beeccea3e0bc96194065e3b764fcf56e929816392ff7751f0" dmcf-pid="XQHEGRjJGV" dmcf-ptype="h3">취약점은 역대 최대…패치는 두 달 가까이 걸려</h3>
 취약점은 빠르게 늘고 있지만 실제 조치는 그 속도를 따라가지 못하고 있다.
 보안기업 에지스캔(Edgescan)의 '2026 취약점 통계 보고서'에 따르면 지난해 공개된 CVE는 4만8185건으로 역대 가장 많았다. 반면 심각도가 높은 애플리케이션 취약점을 수정하는 데 걸린 평균 기간은 54.81일에 달했다.
 실제 보안 업데이트 규모도 커지고 있다.
 보안기업 퀄리스(Qualys)에 따르면 마이크로소프트(MS)는 이달 정기 보안 업데이트에서 모두 206개의 취약점을 수정했다. 이 가운데 33개는 '치명적(Critical)', 167개는 '중요(Important)' 등급이었다. 이미 공격 사실이 공개된 취약점도 3건 포함됐다.
 유형별로는 시스템 권한 상승(Elevation of Privilege) 취약점이 65건으로 가장 많았고, 외부에서 악성코드를 실행할 수 있는 원격코드실행(RCE) 취약점도 55건에 달했다.
 오픈소스 암호화 라이브러리 오픈SSL(OpenSSL)도 최근 18개의 취약점을 수정했다. 이 가운데 고위험 취약점 1건은 미국 AI 기업 앤트로픽의 AI 모델 클로드를 활용한 연구 과정에서 발견됐다.
 오픈SSL은 웹사이트와 서버, 애플리케이션 전반에서 사용하는 핵심 암호화 소프트웨어다. 이런 기반 소프트웨어에서 취약점이 발견되면 어떤 제품과 서비스가 영향을 받는지 파악하는 데만도 상당한 시간이 소요된다.
 <h3 contents-hash="bf0ed681eb3396c3c85960a40746f91cb3c316e8afed075af609c3b88205acc3" dmcf-pid="pn0C3gmjX7" dmcf-ptype="h3">'점수 높은 순'은 한계…실제 공격 가능성이 새 기준</h3>
 <figure class="figure_frm origin_fig" contents-hash="ac27e636aaa4169d6294fad76abc2a795fa4cf912f31327f652d54988ac6884f" dmcf-pid="ULph0asAHu" dmcf-ptype="figure">
 <img alt="2025년 사이버 위협 하반기 동향 및 2026년 전망 보고서 중 유형별 침해사고 신고 현황(한국인터넷진흥원 제공)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/30/NEWS1/20260630062234026xnzl.jpg" data-org-width="787" dmcf-mid="QPTNv6Lx1x" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/30/NEWS1/20260630062234026xnzl.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 2025년 사이버 위협 하반기 동향 및 2026년 전망 보고서 중 유형별 침해사고 신고 현황(한국인터넷진흥원 제공)
 </figcaption>
 </figure>
 국내 침해사고도 증가세다.
 과학기술정보통신부와 한국인터넷진흥원(KISA)에 따르면 지난해 침해사고 신고는 2383건으로 전년보다 26.3% 증가했다. 서버 해킹이 44.2%로 가장 많았고 분산서비스거부(DDoS) 공격(24.7%), 악성코드 감염(14.9%)이 뒤를 이었다.
 그동안 기업과 기관은 공통취약점등급시스템(CVSS) 점수를 기준으로 높은 점수의 취약점부터 순차적으로 조치해 왔다.
 하지만 같은 취약점이라도 인터넷 노출 여부와 실제 악용 사례, 공격 자동화 가능성에 따라 위험도는 크게 달라진다.
 미국 사이버보안·인프라보안국(CISA)도 최근 연방기관에 배포한 지침에서 CVSS 점수뿐 아니라 외부 노출 여부와 실제 공격 여부, 자동화 가능성 등을 함께 고려해 보안 업데이트 우선순위를 결정하도록 권고했다. 최고 위험 취약점은 최단 3일 안에 조치하도록 했다.
 보안업계는 AI 확산으로 취약점 발견 속도가 더욱 빨라질 것으로 예상되는 만큼 앞으로는 단순히 '많이 고치는 것'보다 실제 공격 가능성이 높은 취약점을 먼저 선별해 대응하는 능력이 기업 보안 경쟁력의 핵심이 될 것으로 보고 있다.
 kxmxs4104@news1.kr &lt;용어설명&gt; ■ 공개 취약점(CVE) 전 세계에서 공통으로 쓰는 소프트웨어 취약점 식별 번호다. 특정 프로그램이나 시스템에서 보안 문제가 발견되면 CVE 번호가 붙고, 기업과 기관은 이를 기준으로 자사 시스템이 영향을 받는지 확인한다. ■ 보안 패치(Patch) 소프트웨어의 오류나 보안 취약점을 고치기 위해 배포하는 업데이트다. 취약점이 공개된 뒤 패치 적용이 늦어지면 공격자가 해당 약점을 악용할 가능성이 커진다. ■ 공통취약점등급시스템(CVSS) 취약점의 심각도를 점수로 나타내는 평가 체계다. 점수가 높을수록 위험한 취약점으로 분류되지만, 실제 공격 가능성은 인터넷 노출 여부나 악용 사례 등에 따라 달라질 수 있다. 
 </section> 
 </div> 
 Copyright © 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기