와이어드, AI 에이전트가 촉발한 버그 바운티 군비경쟁의 새 경제학 정밀 분석

와이어드가 에이전틱 AI 모델이 자율적으로 소프트웨어 취약점을 찾고 익스플로잇까지 개발하면서 버그 바운티 산업의 경제 구조가 흔들리고 있다고 전했다. 애플의 버그 바운티 최고 보상은 2016년 도입 당시 20만 달러였고 2019년 100만 달러, 작년 200만 달러까지 올랐지만 이제 그 흐름이 다시 한 번 바뀌고 있다는 진단이다.

독립 보안 연구원 조지프 새커는 지금 작년 같은 시기보다 약 세 배 많은 버그를 제출하고 있으며, 구글 같은 회사는 올해 버그 페이아웃에 작년보다 2~10배를 쓰게 될 것이라고 와이어드에 말했다. 대형 테크 기업은 이 압박을 감당하겠지만 대부분의 회사는 그렇지 못하다는 게 그의 평가다.

보안 연구원 히만슈 아난드는 이달 초 90일 책임 공개 윈도우는 버그 발견자가 드물고 익스플로잇 개발이 느렸던 세상을 위해 만들어진 것이며, LLM이 두 시간표를 모두 압축했고 그 세계는 사라졌다고 적었다. 패치 배포 압박이 더 커질 것이라는 관측이 잇따르고 있다.

구글 연구원들은 이달 초 발표한 결과에서 두드러진 사이버 범죄 행위자가 AI 도구로 만든 제로데이를 활용해 오픈소스 시스템 관리 플랫폼의 2단계 인증을 우회하려 한 시도를 관찰했다고 밝혔다. 구글 위협 인텔리전스 그룹 수석 분석가 존 헐트퀴스트는 공격자들이 AI로 신종 취약점을 찾고 익스플로잇을 만든다는 첫 증거라고 평했다.

커맨드라인 도구 Curl은 AI가 만든 저품질 제출이 폭주하면서 1월에 HackerOne을 통해 운영하던 버그 바운티 프로그램을 종료했다. Curl 창설자 다니엘 스텐베르크는 4월 링크드인 글에서 최근 몇 달간은 AI 슬랍 보고가 멈췄지만 대신 AI 도움을 받은 정말 좋은 보안 보고가 그 어느 때보다 자주 들어와 자신들을 강하게 압박하고 있다고 적었다. 리누스 토발즈는 지난주 리눅스 보안 메일링 리스트가 AI 중복 버그 보고로 거의 통제 불능 상태가 됐다고 밝혔다.

구글은 4월 말 크롬과 안드로이드의 취약점 보상 프로그램을 개편해 일부 버그 등급의 보상을 낮추고 다른 등급은 높였다고 발표했다. 앤스로픽도 이달 자사 시스템과 클로드 AI 모델을 대상으로 한 HackerOne 버그 바운티를 시작했다. 클라우드 보안 기업 에데라의 알렉스 젠라 CTO는 버그 헌팅 산업의 역학이 바뀌고 있지만 여전히 사람의 시간이 절대적으로 필요하다고 말했다.

심장 전문의이자 버그 바운티 헌터인 조너선 던은 상위 10퍼센트 헌터들은 AI가 있어도 발견과 보상을 계속 이어 가겠지만, 공공 인프라처럼 방어자가 충분히 살피지 못하는 시스템을 윤리적 연구원이 들여다보도록 강한 인센티브가 필요하다고 강조했다. 오랜 보안 엔지니어 닐스 프로보스는 패치만으로는 이 흐름에서 빠져나올 수 없으며 가능한 한 많은 버그를 무의미하게 만드는 인프라를 새로 짜야 한다고 와이어드에 말했다.