발견과 대응의 속도 격차 — AI가 바꾼 공격·방어의 비대칭

1. 취약점은 어떻게 '공격의 표준 입구'가 됐나

경계가 사라진 환경에서 공격자가 가장 먼저, 그리고 가장 자주 노리는 입구는 취약점(Vulnerability)입니다. 주요 침해 조사들이 공통적으로 가리키는 방향은 분명합니다. 알려진 취약점을 통한 '시스템 침입형' 공격이 전체 침해에서 가장 큰 비중을 차지하며, 그 비중은 해가 갈수록 커지는 추세입니다.

이유는 구조적입니다. 망분리 시대에는 '안쪽'과 '바깥쪽'을 가르는 벽이 있었고, 취약한 서버라도 벽 안에 있으면 외부에서 직접 닿기 어려웠습니다. SaaS가 열리고 업무 데이터·단말·콘솔이 내부망과 외부를 오가면서, 과거에는 보이지 않던 자산들이 인터넷에서 도달 가능한 공격 표면(attack surface)으로 노출됩니다. 표면이 넓어질수록, 그 표면에 존재하는 취약점 하나하나가 곧 진입로가 됩니다.

여기에 공격자의 경제 논리가 더해집니다. 정교한 사회공학이나 미공개(0-day) 취약점을 동원하는 것보다, 이미 공개된 취약점(N-day) 중 아직 패치되지 않은 시스템을 대량으로 스캔해 노리는 편이 훨씬 비용이 적게 듭니다. 즉 공격자는 '가장 어려운 문'이 아니라 '아직 잠그지 못한 문'을 찾습니다. 취약점은 더 이상 예외적 경로가 아니라, 공격의 표준 입구입니다.

2. AI의 양면성 — 같은 능력이 양쪽에 주어진다

취약점이 표준 입구가 된 환경에서, AI는 발견의 규모와 속도를 근본적으로 바꿉니다. 핵심은 AI가 한쪽 편만 들지 않는다는 점입니다. 동일한 자동 분석 능력이 방어자와 공격자 모두에게 주어집니다.

과거 취약점 분석은 숙련된 연구자의 시간과 직관에 크게 의존했습니다. 소스코드를 읽고, 바이너리를 역분석하고, 의심스러운 패턴을 추적하는 작업은 사람의 손을 탔습니다. AI는 이 과정을 자동화·병렬화합니다. 방대한 코드베이스와 바이너리를 자동으로 훑어 잠재적 결함을 대량으로 식별하고, 익스플로잇 가능성을 평가하며, 공격 코드의 초안까지 보조할 수 있게 됐습니다.

• 방어 측면 — 개발 단계의 자동 코드 감사, 취약점 우선순위화, 패치 영향 분석 등 보안팀의 역량을 끌어올립니다.
• 공격 측면 — 동일한 자동 분석으로 미발견 결함을 대량으로 캐내고, 공개된 취약점을 빠르게 실제 공격 도구로 전환합니다.

문제는 이 두 능력이 대칭적으로 작동하지 않는다는 데 있습니다. 공격자는 취약점 하나만 무기화하면 목적을 달성하지만, 방어자는 모든 자산에서 모든 취약점을 빠짐없이 막아야 합니다. AI가 양쪽 모두의 '발견'을 가속할 때, 비대칭은 줄어드는 게 아니라 오히려 커집니다.

3. 속도의 격차 — 무기화 타임라인 vs 조직 대응 타임라인

공격·방어 비대칭의 본질은 한 단어로 요약됩니다 — 속도. 취약점이 공개(CVE)된 순간부터 실제 공격에 쓰이기까지 걸리는 시간은 빠르게 짧아지는 반면, 조직이 영향 자산을 파악하고 패치를 검증·배포하는 데 걸리는 시간은 여전히 수 주에서 수 개월 단위입니다. 두 시계가 다른 속도로 흐릅니다.

아래는 동일한 취약점을 두고 공격자 측과 방어자 측에서 시간이 어떻게 흐르는지를 단계별로 대비한 것입니다(절대 수치가 아닌 상대적 흐름).

핵심은 두 타임라인이 겹치는 구간입니다. 공격자가 이미 무기화를 끝낸 시점에도, 조직은 아직 영향 자산을 파악하거나 패치를 검증하는 중일 수 있습니다. 바로 이 구간에서 침해가 일어납니다.

왜 조직의 시계는 느릴 수밖에 없나

조직의 대응이 느린 것은 게으름이 아니라 책임의 무게 때문입니다. 운영 중인 서버에 패치를 잘못 적용하면 서비스가 멈출 수 있습니다. 그래서 영향도 평가, 테스트, 변경관리 승인이라는 절차가 반드시 끼어듭니다. 자산이 많고 복잡할수록 이 시간은 길어집니다. 패치는 본질적으로 신중할 수밖에 없는 작업입니다.

4. '패치 공백(patch gap)'이라는 구조적 위험

취약점이 공개된 시점과 조직이 실제로 패치를 적용 완료한 시점 사이의 시간 — 이것을 패치 공백(patch gap)이라고 부릅니다. 그리고 이 공백이야말로 현대 침해의 가장 큰 단일 위험 구간입니다.

패치 공백이 위험한 이유는, 이 기간 동안 취약점이 '공개되어 있으면서 동시에 방어되지 않은' 상태로 존재하기 때문입니다. 공격자는 무엇을 노려야 할지 정확히 알고 있고(공개된 CVE), 방어자는 아직 그 문을 잠그지 못했습니다. AI가 무기화 속도를 끌어올린 환경에서는 이 공백의 '시작'이 더 빨라지고, 표면이 넓어진 SaaS 환경에서는 공백에 노출되는 '자산의 수'가 더 많아집니다. 위험이 양쪽에서 동시에 커지는 셈입니다.

5. 질문을 바꿔야 한다 — '더 빨리 패치'가 아니라 '공백을 무엇으로 메우나'

많은 조직이 패치 공백 문제를 "패치를 더 빨리 하자"로 풀려고 합니다. 자동화, 인력 충원, 절차 단축 — 모두 의미 있는 노력이고 공백을 줄이는 데 기여합니다. 그러나 이것만으로는 문제가 해결되지 않습니다. 구조적으로, 패치 속도는 발견 속도를 따라잡을 수 없기 때문입니다.

1. 발견은 자동화·병렬화되어 가속됩니다(AI 기반 대량 분석).
2. 패치는 검증·테스트·변경관리라는 인간적·운영적 제약에 묶여 있습니다.
3. 둘의 속도 차이는 노력으로 좁힐 수는 있어도 0으로 만들 수는 없습니다.

그래서 질문 자체를 바꿔야 합니다. "어떻게 더 빨리 패치할 것인가"에서 — "패치가 적용되기 전, 그 공백 기간을 무엇으로 메울 것인가"로. 이 질문 전환이 현대 서버보안 전략의 출발점입니다. 공백이 사라지지 않는다면, 공백 동안의 위험을 흡수하는 별도의 방어선이 필요합니다.

6. 그래서 계층적 방어가 답이다

패치 공백을 전제로 한 방어는 단일 제품으로 완성되지 않습니다. 발견과 패치 사이의 시간을 여러 겹의 방어선으로 흡수하는 계층적 방어(defense in depth)가 답입니다. 각 계층은 서로 다른 시점·다른 관점에서 공격을 차단하며, 한 계층이 놓친 것을 다음 계층이 잡습니다.

• 패치 전 공백을 막는 선제 차단 — 가상패치(HIPS). 실제 패치가 배포되기 전에도 알려진 취약점을 노리는 공격 트래픽·행위를 네트워크/호스트 단에서 차단합니다. 공백 기간 동안의 '임시 자물쇠' 역할을 합니다.
• 뚫린 이후를 보는 탐지·대응 — EDR/XDR. 진입에 성공한 공격의 실행 단계(프로세스·파일·내부 이동)를 행위 기반으로 탐지하고 차단합니다. 공백을 100% 막지 못하더라도, 침해를 조기에 끊어냅니다.
• 전체를 묶는 통합 가시성 — 통합 플랫폼. 어떤 자산이 어떤 취약점에 노출됐는지, 어디에 가상패치가 걸려 있고 어디가 비어 있는지를 한눈에 보고 우선순위를 정합니다.

이 세 계층은 모두 같은 전제를 공유합니다 — 공백은 항상 존재하며, 그 공백 동안의 위험을 흡수하는 것이 보안의 핵심 임무라는 것. AI가 키운 공격·방어 비대칭은 더 빠른 패치만으로는 메울 수 없습니다. 발견을 따라잡는 대신, 발견과 패치 사이의 시간을 견디는 구조를 갖추는 것 — 그것이 경계가 사라진 시대의 현실적인 답입니다.