세계적 해킹 대회 폰투온, 19년만에 처음 겪는 난리로 진통

긴급한 전화가 걸려왔다. 독일행 비행기 탑승 직전이었던 지인이었다. 문이 곧 닫혀 오래 통화할 수 없으니 간략히 설명한다며 그는 14일부터 열리는 폰투온 대회가 벌써부터 난리라고 전했다. 참가자 폭증으로 접수를 조기 마감했고, 입장 거부 당한 전문가들이 대회를 위해 준비해두었던 취약점 정보를 마구 공개하는 초유의 사태가 벌어졌다는 내용이었다. 이 혼란의 뿌리에는 AI가 있다는 말을 끝으로 그는 탑승을 마치고 하늘을 날았다.

소셜미디어와 커뮤니티에 접속해보니 진짜 난리통이었다. AI 때문에 취약점 발견과 익스플로잇 개발 난이도가 크게 낮아진다 했더니 수많은 사람들이 이 권위 있는 대회의 주최측에 참가 신청서를 낸 것이다. 주최측이 지난 19년 동안 처리했던 방식으로는 도무지 소화할 수 없는 물량이 도착했고, 결국 접수 신청은 이미 7일부터 종료됐다.

‘19년의 처리 방식’

신청자가 몰려서 접수가 일찌감치 마감됐다는 건 행사 주최자 입장에서 호재의 신호로 받아들이는 게 보통일 것이나 폰투온은 그렇지 않다. 왜냐하면 폰투온은 제로데이 취약점들을 대회 당일 무대에서 라이브로 익스플로잇하는 대회이기 때문이다. 이런 무대를 꾸미려면 주최측은 다음과 같은 일들을 사전에 진행해야 한다.

1) 참가 희망자들로부터 취약점 및 익스플로잇 보고서를 받는다(신청서).
2) 내부적으로 이 보고서를 검토한다. 
3) 즉 보고서 내용이 확실한지 기술적으로 확인하고, 시연을 위해 필요한 하드웨어를 구성하는 등 무대를 마련한다.
이 때문에 주최측이 받아들일 수 있는, 그리고 무대에 올릴 수 있는 취약점 연구 보고서는 제한적이다. 

올해에는 무슨 일이 있었나

료칵(Ryotkak)이라는 닉네임으로 활동하는 보안 전문가는 대회에 등록에만 3주를 썼다고 한다. 하지만 대회 측은 “인원이 이미 다 찼다”는 답변을 보낼 수밖에 없었다. 소셜미디어들을 보면 비슷한 상황에 놓인 보안 전문가들이 상당히 많은 것으로 보인다. 인공지능이 촉발한 ‘속도 전쟁’을 미처 예상치 못했거나 대응을 못한 것이다.

이에 여러 전문가들이 대회용으로 연구해 두었던 취약점과 익스플로잇 정보를 제각각 발표하기 시작했다. 이 현상에 ‘보복 공개(revenge disclosure)’라는 이름이 붙었다. Xchglabs라는 그룹은 무려 86개의 취약점을 노출시켰다. 자신들의 노력으로 100만 달러 상금을 노리려 했으나 후보 등록조차 되지 않으니, 관련 회사들과 일반 대중에게 정보를 공개한 것이다. Ggwhyp라는 단체는 윈도 계산기 앱을 통해 파이어폭스 브라우저를 장악하는 방법을 무료로 풀었다. 퍼징랩스(FuzzingLabs)는 오라클 오토노머스 AI 데이터베이스(Oracle Autonomous AI Database) 공략법 발표를 예고했다.

이런 ‘보복 공개’는 대회 시작 전부터 파장을 일으켰다. 이는 폰투온이라는 행사의 취지와도 직결된 문제다. 폰투온은 처음부터 ‘실용성’이라는 콘셉트를 내세우고 기획됐다. 그래서 ‘일반 대중들에게 많이 노출된 제품이나 서비스에서 발견된 제로데이 취약점’을 다룬다. 당해 인기 높은 핸드폰이나 브라우저, 차량 등이 주로 해부된다. 그리고 대회를 통해 드러난 제로데이 취약점은 먼저 해당 제조사나 개발사에 전달되고, 회사는 문제를 수정하며 발견자에게 상금을 수여한다. 이 과정이 지나야 취약점과 익스플로잇 정보가 대중들에게 알려진다.

이것이 ‘보복 공개’에 어떤 의미를 부여하는가? 다음과 같이 정리 가능하다.
1) 실용성 :  일반인들이 자주 접하는 제품과 서비스의 취약점이 노출됐으므로 후속 피해 가능성이 증폭된다
2) 기밀성 : 해당 제조사나 개발사가 취약점을 패치할 시간이 주어지지 않았으므로 후속 피해 가능성이 높아진다
3) 공정성 : 이 정보를 대회 전에 가져간 제조사나 개발사(그리고 대회 주최측)가 대회 기간 발표된 내용에 대해 상금을 수여하지 않기로 할 가능성이 높아지므로, 대회 참가자들에게 불이익 있을 수 있다

AI 슬롭, 해결됐나?

이번 사태는 어느 정도 예견되긴 했었다. AI를 활용한 취약점 보고서가 과도히 생산 및 제출되고 있어 버그바운티 프로그램 운영자들이 대처하지 못한다는 이야기가 이전부터 지속적으로 나왔기 때문이다. 심지어 아예 버그바운티 프로그램이 폐지된 사례도 있었다. 취약점 발견과 익스플로잇 개발이라는 분야 전체가 AI 때문에 좋지 않은 방향으로 흔들리는 것 아니냐는 우려가 제기됐다.

하지만 얼마 지나지 않아 “AI가 만들어낸 취약점 보고서의 품질이 매우 좋아지기 시작했다”는 증언들이 일부 오픈소스 커뮤니티에서부터 간헐적으로 등장하기도 했다. ‘AI 슬롭은 더 이상 존재하지 않는 개념’이라고까지 결론이 내려진 건 아니고, AI발 취약점 보고서가 인간의 연구 결과물을 대체할 정도로 자리를 잡은 것도 아니지만, AI 슬롭에 대한 불평이나 불만이 눈에 띄게 줄어들고 있는 건 사실이다.

그런 가운데 보안 분야에서 손 꼽히는 해킹 대회 자체가 AI발 보고서들로 인해 마비되다시피 해 정상 운영이 힘들어질 정도가 됐으니, AI 슬롭이라는 것도 ‘한 때 지나가는 현상’이나 ‘시간이 좀 지나면 자연스레 해결되는 현상’ 정도로 귀결되는 듯도 하다. 

한편 현재 한창 진행되고 있는 폰투온 베를린 대회서 보안 전문가들은 첫날부터 어마어마한 상금을 획득하고 있다. 첫 날부터 52만 3천 달러가 넘는 ‘현금’이 수여됐다는 소식이다.🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• Pwn2Own Berlin 2025 및 AI 카테고리 신설 공지 - Trend Micro ZDI, 2024년
• Pwn2Own Berlin 2025: AI 인프라를 겨냥한 취약점 공개 예고 - Trend Micro ZDI, 2024년
• AI-generated slop is quietly conquering the internet. Is it a threat to journalism or a problem with its business model? - Reuters Institute, 2024년
• Spam, junk … slop? The latest wave of AI behind the ‘zombie internet’ - The Guardian, 2024년

쓰레기 생성 AI 때문에 오픈소스 관리자 ‘녹다운’

💡Editor’s Pick - AI가 작성한 취약점 보고서, 매우 그럴듯 - 취약점 전문가들, 버튼 몇 번 클릭으로 대량 생산 - 이 많은 보고서 접수받는 오픈소스 메인테이너들 죽을 지경 AI가 만들어내는 취약점 보고서 때문에 오픈소스 메인테이너들 고생이 이만저만 아니다. 보다 못한 리눅스재단과 여섯 개 빅테크 기업들이 1250만 달러 규모 보조금을 차출했을 정도다.

더테크엣지(The Tech Edge)문가용 기자