AI, Exploit 생성 가속화: 패치에서 Exploit까지 단 몇 시간 만에
사이버 보안 환경은 인공지능(AI)의 역할이 점점 더 중요해짐에 따라 빠르게 진화하고 있습니다. 생성적 AI 모델은 이제 놀라운 속도로 exploit 코드를 생성할 수 있어 방어자가 취약점에 대응할 수 있는 기회를 크게 줄입니다. AI가 복잡한 코드를 분석하고 이해하는 능력에 힘입어 시스템을 보호하려는 조직에 새로운 과제를 제시합니다.
Exploit 속도: 몇 시간의 문제
취약점 공개에서 PoC(Proof-of-Concept) exploit 생성까지의 기존 타임라인은 생성적 AI의 기능 덕분에 크게 단축되었습니다. 이전에는 며칠 또는 몇 주가 걸렸던 작업이 이제 몇 시간 만에 완료될 수 있습니다.
ProDefense의 보안 전문가인 Matthew Keely는 AI를 사용하여 Erlang의 SSH 라이브러리에서 중요한 취약점에 대한 exploit을 단지 오후 만에 개발함으로써 이러한 속도를 입증했습니다. AI 모델은 게시된 패치의 코드를 활용하여 보안 허점을 식별하고 exploit을 고안했습니다. 이 예는 AI가 exploit 프로세스를 가속화하여 사이버 보안 전문가에게 엄청난 도전을 제시하는 방법을 강조합니다.
Keely의 실험은 SSH 라이브러리 버그에 대한 exploit 코드를 쉽게 개발할 수 있다는 Horizon3.ai의 게시물에서 영감을 받았습니다. 그는 AI 모델, 특히 OpenAI의 GPT-4와 Anthropic의 Claude Sonnet 3.7이 exploit 생성 프로세스를 자동화할 수 있는지 테스트하기로 결정했습니다.
그의 결과는 놀라웠습니다. Keely에 따르면 GPT-4는 CVE(Common Vulnerabilities and Exposures) 설명을 이해했을 뿐만 아니라 수정 사항을 도입한 커밋을 식별하고 이전 코드와 비교하고 취약점을 찾고 PoC까지 작성했습니다. 초기 코드가 실패했을 때 AI 모델은 디버깅하고 수정하여 학습하고 적응하는 능력을 보여주었습니다.
취약점 연구에서 AI의 역할 확대
AI는 취약점을 식별하고 exploit을 개발하는 데 모두 가치를 입증했습니다. Google의 OSS-Fuzz 프로젝트는 대규모 언어 모델(LLM)을 사용하여 보안 허점을 발견하는 반면, University of Illinois Urbana-Champaign의 연구원은 GPT-4가 CVE를 분석하여 취약점을 exploit할 수 있음을 입증했습니다.
AI가 exploit을 생성할 수 있는 속도는 방어자가 이러한 새로운 현실에 적응해야 할 긴급한 필요성을 강조합니다. 공격 생산 파이프라인의 자동화는 방어자가 필요한 보안 조치를 취하고 구현할 수 있는 최소한의 시간을 남깁니다.
AI를 이용한 Exploit 생성 프로세스 해체
Keely의 실험은 Erlang/OPT SSH 서버에서 취약한 코드 세그먼트와 패치된 코드 세그먼트를 비교하는 Python 스크립트를 생성하도록 GPT-4에 지시하는 것을 포함했습니다. “diffing”이라고 하는 이 프로세스를 통해 AI는 취약점을 해결하기 위해 수행된 특정 변경 사항을 식별할 수 있었습니다.
Keely는 코드 diff가 GPT-4가 작동하는 PoC를 생성하는 데 중요하다고 강조했습니다. 그들 없이는 AI 모델이 효과적인 exploit을 개발하는 데 어려움을 겪었습니다. 처음에는 GPT-4가 SSH 서버를 탐색하기 위해 퍼저를 작성하려고 시도하여 다양한 공격 벡터를 탐색하는 능력을 보여주었습니다.
퍼징이 특정 취약점을 발견하지 못했을 수도 있지만 GPT-4는 Dockerfile, 취약한 버전의 Erlang SSH 서버 설정 및 퍼징 명령을 포함하여 랩 환경을 만드는 데 필요한 구성 요소를 성공적으로 제공했습니다. 이 기능은 공격자의 학습 곡선을 크게 줄여 취약점을 신속하게 이해하고 exploit할 수 있도록 합니다.
코드 diff를 사용하여 AI 모델은 변경 사항 목록을 생성하여 Keely에게 취약점의 원인에 대해 문의하도록 했습니다.
AI 모델은 인증되지 않은 메시지에 대한 보호를 도입한 논리 변경에 대해 자세히 설명하면서 취약점의 배후에 있는 근거를 정확하게 설명했습니다. 이러한 수준의 이해는 AI가 취약점을 식별할 뿐만 아니라 근본적인 원인을 이해하는 능력도 강조합니다.
이 설명에 따라 AI 모델은 전체 PoC 클라이언트, Metasploit 스타일 데모 또는 추적을 위한 패치된 SSH 서버를 생성하여 취약점 연구에서 다양성과 잠재적 응용 프로그램을 보여주었습니다.
과제 극복: 디버깅 및 개선
인상적인 기능에도 불구하고 GPT-4의 초기 PoC 코드는 제대로 작동하지 않았습니다. 이는 단순한 코드 조각을 넘어 확장되는 AI 생성 코드에서 흔히 발생하는 현상입니다.
이 문제를 해결하기 위해 Keely는 또 다른 AI 도구인 Anthropic의 Claude Sonnet 3.7이 포함된 Cursor로 전환하여 작동하지 않는 PoC를 수정하도록 했습니다. 놀랍게도 AI 모델은 코드를 성공적으로 수정하여 AI가 자체 출력을 개선하고 개선할 수 있는 잠재력을 보여주었습니다.
Keely는 자신의 경험을 되돌아보며 AI가 취약점 연구에 혁명을 일으키는 방식에 대한 심층적인 탐구로 자신의 초기 호기심이 바뀌었다고 언급했습니다. 그는 이전에는 전문적인 Erlang 지식과 광범위한 수동 디버깅이 필요했던 작업을 이제 올바른 프롬프트로 오후에 완료할 수 있다고 강조했습니다.
위협 전파에 대한 영향
Keely는 AI가 exploit 프로세스를 가속화하는 능력에 힘입어 위협이 전파되는 속도가 크게 증가했다고 강조했습니다.
취약점은 더 자주 게시될 뿐만 아니라 공개된 후 몇 시간 내에 훨씬 더 빠르게 exploit됩니다. 이 가속화된 exploit 타임라인은 방어자가 필요한 보안 조치를 취하고 구현할 시간을 줄입니다.
이러한 변화는 또한 위협 행위자 간의 조정이 증가하는 특징이 있으며, 동일한 취약점이 매우 짧은 시간에 여러 플랫폼, 지역 및 산업에서 사용됩니다.
Keely에 따르면 위협 행위자 간의 동기화 수준은 몇 주가 걸렸지만 이제 단 하루 만에 발생할 수 있습니다. 데이터는 게시된 CVE가 크게 증가하여 위협 환경의 복잡성과 속도가 증가하고 있음을 반영합니다. 방어자에게 이는 더 짧은 응답 시간과 자동화, 복원력 및 지속적인 준비의 필요성으로 이어집니다.
AI 가속화된 위협에 대한 방어
인프라 방어를 추구하는 기업에 대한 영향에 대한 질문에 Keely는 핵심 원칙은 동일하게 유지된다고 강조했습니다. 중요한 취약점을 빠르고 안전하게 패치해야 합니다. 이를 위해서는 보안을 우선시하는 최신 DevOps 접근 방식이 필요합니다.
AI로 인해 도입된 주요 변경 사항은 공격자가 취약점 공개에서 작동하는 exploit으로 전환할 수 있는 속도입니다. 응답 타임라인이 줄어들고 있으므로 기업은 모든 CVE 릴리스를 잠재적인 즉각적인 위협으로 취급해야 합니다. 조직은 더 이상 며칠 또는 몇 주를 기다려 대응할 여유가 없습니다. 세부 정보가 공개되는 순간 대응할 준비가 되어 있어야 합니다.
새로운 사이버 보안 환경에 적응
AI 가속화된 위협에 효과적으로 대처하려면 조직은 사전 예방적이고 적응 가능한 보안 태세를 채택해야 합니다. 여기에는 다음이 포함됩니다.
- 취약점 관리 우선순위 지정: 정기적인 스캔, 우선순위 지정 및 취약점 패치를 포함하는 강력한 취약점 관리 프로그램을 구현합니다.
- 보안 프로세스 자동화: 취약점 스캔, 사고 대응 및 위협 인텔리전스 분석과 같은 보안 프로세스를 간소화하기 위해 자동화를 활용합니다.
- 위협 인텔리전스에 투자: 위협 인텔리전스 피드에 투자하고 정보 공유 커뮤니티에 참여하여 최신 위협과 취약점에 대한 정보를 유지합니다.
- 보안 인식 교육 강화: 피싱, 맬웨어 및 기타 사이버 위협의 위험에 대해 직원을 교육합니다.
- 제로 트러스트 아키텍처 구현: 기본적으로 사용자 또는 장치를 신뢰하지 않는 제로 트러스트 보안 모델을 채택합니다.
- 방어에 AI 활용: AI 기반 보안 도구를 활용하여 실시간으로 위협을 감지하고 대응합니다.
- 지속적인 모니터링 및 개선: 보안 제어 및 프로세스를 지속적으로 모니터링하고 진화하는 위협에 앞서기 위해 필요에 따라 조정합니다.
- 사고 대응 계획: 보안 사고에 대한 신속하고 효과적인 대응을 보장하기 위해 사고 대응 계획을 개발하고 정기적으로 테스트합니다.
- 협업 및 정보 공유: 집단 보안을 개선하기 위해 다른 조직 및 산업 그룹과의 협업 및 정보 공유를 촉진합니다.
- 사전 위협 헌팅: 피해를 입히기 전에 잠재적인 위협을 식별하고 완화하기 위해 사전 위협 헌팅을 수행합니다.
- DevSecOps 채택: 소프트웨어 개발 수명 주기에 보안을 통합하여 초기에 취약점을 식별하고 해결합니다.
- 정기적인 보안 감사 및 침투 테스트: 시스템 및 응용 프로그램의 약점을 식별하기 위해 정기적인 보안 감사 및 침투 테스트를 수행합니다.
AI 시대의 사이버 보안 미래
사이버 보안에서 AI의 부상은 기회와 도전을 모두 제시합니다. AI는 공격을 가속화하는 데 사용할 수 있지만 방어를 강화하는 데에도 사용할 수 있습니다. AI를 수용하고 보안 전략을 조정하는 조직은 진화하는 위협 환경으로부터 자신을 보호하는 데 가장 적합한 위치에 있을 것입니다.
AI가 계속 발전함에 따라 사이버 보안 전문가는 최신 개발 정보를 유지하고 그에 따라 기술과 전략을 조정하는 것이 중요합니다. 사이버 보안의 미래는 AI 기반 공격자와 AI 기반 방어자 간의 지속적인 전투에 의해 정의될 것입니다.