AI 기반 버그 헌팅은 취약점 탐지 속도를 높이면서 효과적인 버그 바운티 프로그램의 기준 자체를 바꿔놓았다. 하지만 그만큼 코드 유지보수자는 이른바 ‘AI 슬롭(AI slop)’에 시달리고 있다. AI 슬롭이란 AI가 만들어낸 부정확하거나 불필요한 탐지 결과를 의미한다.

보안 연구자는 LLM을 활용해 정찰을 자동화하고 API를 리버스 엔지니어링하며 그 어느 때보다 빠르게 코드베이스를 분석하고 있다. 퍼징(fuzzing), 익스플로잇 자동화, 코드와 웹사이트 전반의 패턴 인식 등 다양한 기법에 AI 도구를 적용하면서 취약점을 찾아내는 속도도 눈에 띄게 빨라지고 있다.

해커원(HackerOne)의 시니어 버그 바운티 프로그램 매니저 크리스털 헤이즌은 “지난 1년 동안 우리는 이른바 ‘바이오닉 해커(bionic hacker)’의 시대에 들어섰다. 이는 인간 연구자가 에이전틱 AI 시스템을 활용해 데이터를 수집하고, 분류하며, 취약점 탐지를 고도화하는 단계”라고 말했다. 해커원은 신고 접수와 분류 과정을 효율화하기 위해 자사 플랫폼에 AI 도구를 도입했다.

해커원의 조사에 따르면, 2025년 AI 관련 유효 취약점 보고 건수는 2024년 대비 210% 증가했다. 또한 AI 취약점에 대한 총 보상금 지급액도 339% 급등했다. 이는 버그 바운티 프로그램이 AI 기반 애플리케이션의 보안 문제를 다루는 방향으로 진화하고 있음을 보여준다. 현재 보고된 주요 취약점은 프롬프트 인젝션(prompt injection), 모델 조작(model manipulation), 그리고 불안전한 플러그인 설계(insecure plug-in design) 등이 대부분을 차지한다.

AI 슬롭이라는 세금

업계 전문가들은 AI를 취약점 탐지의 핵심 도구로 삼기보다 ‘연구 보조 도구’나 가이드로 한정해 활용해야 한다고 조언한다.

버그 바운티 플랫폼 인티그리티(Intigriti)의 최고 해커 책임자 인티 드 세우켈레어는 필자와의 인터뷰에서 “AI 덕분에 숙련도가 낮은 연구자도 잠재적으로 취약한 시스템을 식별하거나 코드의 결함을 분석할 수 있게 되면서 해커 간 격차가 줄었다. 그러나 AI 기반 분석의 결과가 항상 신뢰할 수 있는 것은 아니며, 이로 인해 현실적인 문제가 발생하고 있다”라고 지적했다.

이어 “AI가 일종의 메아리처럼 작동하며 자신이 무언가를 발견했다고 믿는 이들의 확증 편향을 증폭시키는 경우를 봤다. 외부에서 들어오는 취약점 보고서를 처리하는 보안팀은 AI에 과도하게 의존한 흔적이 보이는 보고서일수록 더욱 신중하고 비판적으로 검토할 필요가 있다”라고 강조했다.

드 세우켈레어는 “분류 서비스를 제공하는 버그 바운티 플랫폼이 이런 문제를 해결하는 데 도움이 될 수 있다. 이런 플랫폼은 연구자의 활동 이력을 장기적으로 분석하고, 기업에 보고서가 도달하기 전에 AI 슬롭을 탐지하고 식별할 수 있는 정교한 기술을 갖추고 있다”라고 말했다.

다른 보안 전문가들도 AI 도구를 버그 헌팅에 적용한 결과를 보면, 지금까지는 긍정적이고 부정적인 면이 뒤섞여 있다고 평가했다. 다만 정교한 분류 과정을 거치면 이런 문제를 상당 부분 완화할 수 있다는 분석이다.

사이버보안 및 컴플라이언스 컨설팅 기업 프로서큘러(ProCircular)의 공격형 사이버 운영 디렉터 보비 쿠즈마는 “AI 도구를 올바르게 적용하고 검증한다면 높은 영향력을 지닌 취약점을 발견할 수 있다. 하지만 현실적으로는 대부분이 AI 슬롭이라 표현할 수밖에 없는 방대한 양의 보고서가 쏟아지면서 프로그램이 감당하기 어려운 수준에 이르고 있다”라고 말했다.

AI 도구가 만들어내는 보고서의 품질이 제각각인 데다 양까지 급증하면서, 인력과 자원이 부족한 버그 바운티 프로그램 운영팀은 이를 분류하는 데 큰 부담을 겪고 있다. 이런 현상은 중요 오픈소스 소프트웨어 프로젝트와 연계된 프로그램에서 특히 두드러진다.

예를 들어, 파일 다운로드에 널리 사용되는 명령줄 도구 ‘컬(curl)’ 프로젝트는 AI로 탐지한 버그를 제출하지 말아 달라고 공개적으로 요청했다. 해당 프로젝트 유지보수자들은 AI 도구를 사용해 생성된 저품질 버그 보고서 때문에 지나치게 많은 시간을 허비하고 있다고 토로했다.

프로젝트 리더 다니엘 스텐버그는 근거 없거나 허위인 보고서가 쏟아지는 상황을 서비스 거부(DoS) 공격에 비유했다. 다만 최근에는 일부 AI 도구를 활용해 생성된 실제 버그 보고서가 접수되면서, 스텐버그는 이전보다 다소 완화된 입장을 보이고 있다.

‘허위 탐지’의 소나기

코발트닷아이오(Cobalt.io)의 CTO 귄터 올만은 AI가 이미 존재하던 문제를 더욱 악화시키고 있다며 “AI로 인해 업체가 저품질 버그 보고서에 파묻히는 현상이 심화되고 있다”라고 지적했다.

올만은 또 “보안 연구자가 AI에 의존하기 시작하면서 시스템에는 잡음과 허위 탐지, 중복 보고가 쏟아지는 같은 상황이 벌어지고 있다”라고 언급했다.

올만은 “보안 테스트의 미래는 중복되거나 저품질 버그를 찾아내는 버그 헌터 무리를 관리하는 것이 아니다. 필요한 시점마다 최고의 전문가에게 접근해 실제 악용 가능한 취약점을 찾아내고 수정하는 것, 즉 지속적이고 체계적인 공격형 보안 프로그램을 구축하는 것”이라고 강조했다 .

영국의 투자 리서치 플랫폼 트러스트넷(TrustNet)의 CISO 트레버 호르비츠는 “최상의 결과는 여전히 도구를 제대로 다룰 줄 아는 사람에게서 나온다. AI는 속도와 확장성을 제공하지만, 그 결과를 실제 성과로 바꾸는 것은 인간의 판단력”이라고 말했다.

클라우드 보안 업체 위즈(Wiz)의 위협 노출 담당 책임자이자 버그 바운티 헌터인 갈 나글리는 필자와의 인터뷰에서 “숙련된 연구자 사이에서는 AI 도구가 버그 바운티 활동에 획기적인 변화를 가져왔다고 보기 어렵다”라고 말했다. 예를 들어, 기본 자격 증명이나 서브도메인 탈취처럼 인프라 기반 취약점을 대규모로 자동 탐지하는 연구자는 이미 검증된 도구와 탐지 체계를 갖추고 있다. 이런 경우에는 AI가 굳이 필요하지 않다.

나글리는 “AI의 진정한 가치는 숙련된 연구자의 역량을 보완하는 데 있다. 특히 인증이 필요한 포털을 테스트하거나 방대한 코드베이스와 자바스크립트 파일을 분석할 때 그 효과가 두드러진다. AI는 이전까지는 너무 복잡하거나 미묘해서 탐지하기 어려웠던 취약점을 찾아내는 데 도움을 준다”라고 덧붙였다.

최신 세대의 AI 모델은 숙련된 버그 바운티 헌터를 대체하는 것이 아니라, 그들이 더 많은 취약점을 찾아낼 수 있도록 역량을 확장하는 방향으로 진화하고 있다.

나글리는 “완전한 자율형 에이전트는 여전히 한계가 있다. 인증이 필요한 환경이나 인간의 문맥적 판단이 중요한 상황에서는 제대로 대응하지 못한다”라고 지적했다.

위험 관리 일부로 진화하는 버그 바운티

버그 바운티 프로그램은 이제 단순한 취약점 포상 제도를 넘어, 공격자가 악용하기 전에 실제 위협을 지속적으로 탐지하는 기업의 위험 관리 전략의 핵심 축으로 자리 잡고 있다. 보안 책임자는 인적 분석 역량과 자동화를 결합해 자산, 공급망, API 전반에 걸쳐 실시간 가시성을 확보하는 지속적이고 데이터 기반의 노출 관리 체계를 구축하고 있다.

해커원에 따르면, 조사에 참여한 기업의 83%가 현재 버그 바운티 프로그램을 운영하고 있으며, 전체 프로그램을 합한 보상금 규모는 전년 대비 13% 증가한 8,100만 달러(약 1,172억 원)에 달했다.

해커원은 교차 사이트 스크립팅(XSS)이나 SQL 인젝션과 같은 일반적인 취약점 유형에 점점 더 쉽게 대응할 수 있게 되면서 기업은 더 근본적인 시스템 위험으로 초점을 옮기고 있다고 분석했다. 이제 기업은 인증 및 접근 제어, 비즈니스 로직 결함 등과 같이 구조적 취약점을 찾아내는 데 더 큰 가치를 두고 있다.

해커원의 최신 연례 벤치마크 보고서에 따르면, 부적절한 접근 제어와 직접 객체 참조(insecure direct object reference, IDOR) 취약점이 전년 대비 18%에서 29%까지 증가한 것으로 나타났다. 이는 현재 공격자와 방어자 모두가 이런 영역에 집중하고 있음을 보여준다.

해커원의 헤이즌은 “2025년 기업이 맞이할 과제는 속도, 투명성, 신뢰의 균형을 유지하는 것이다. 크라우드소싱 기반 공격형 테스트의 효과를 측정하는 동시에, 책임 있는 정보 공개와 공정한 보상, 그리고 AI를 활용한 취약점 보고서 검증을 병행해야 한다”라고 조언했다.

dl-itworldkorea@foundryco.com