소프트웨어 부문의 보안은 악몽에 가깝다. 몇 주 간격으로 애플 기기에 수십 개의 취약점을 패치하는 업데이트가 이어지는 것만 봐도 알 수 있다. 현대 소프트웨어는 지나치게 복잡하고, 다른 소프트웨어와 긴밀하게 얽혀 있어 위협을 따라잡는 것이 거의 불가능하다.

시스템의 ‘공격 표면’이란 해커가 침투할 가능성이 있는 지점의 총합을 의미한다. 기기, 프로그램, 소프트웨어, 서비스에 침투하기 위해 악용할 수 있는 모든 코드 영역이다. 코드 규모가 커지고, 라이브러리·응용프로그램 인터페이스·미들웨어가 확대되면서 현대 소프트웨어의 공격 표면은 매우 넓어졌다.

애플 같은 대기업의 보안 엔지니어는 이런 잠재적 취약점을 찾아내고 수정하는 역할을 맡지만, 그 규모가 너무 크다. 해커는 알려지지 않은 취약점 하나만 찾으면 되지만, 보안 엔지니어는 모든 취약점을 찾아내고 고쳐야 한다.

공격자는 구조적으로 유리한 위치에 서게 됐다. 그 결과, 소프트웨어 보안은 모든 구멍을 막는 시도라기보다는, 공격의 난이도와 비용을 최대한 높여 실제 악용 사례를 드물게 만드는 방향으로 바뀌어왔다.

하지만 이런 구도가 곧 달라질 전망이다.

AI 코딩 에이전트, 규칙을 바꾸다

AI 코딩 에이전트의 성능은 매우 빠르게 향상됐다. 많은 영역에서 평균적인 프로그래머보다 뛰어나며, 일부 분야에서는 최상위 전문가에 필적하거나 넘어선다. 앤트로픽의 오퍼스 모델과 클로드 코드 도구가 대표적인 사례다. 모질라는 오퍼스 4.6을 활용해 파이어폭스 코드베이스를 분석했고, 그 결과 보안과 직결되는 버그 22개를 찾아냈다.

취약점을 찾고 수정하는 전문 인력을 보유한 브라우저 전문 업체에서, AI 에이전트가 추가로 22개의 문제를 발견해낸 것이다.

앤트로픽은 일부 개발자에게 미토스의 초기 버전을 시험할 기회를 제공했다.

Anthropic

앤트로픽은 아직 미공개 상태인 차세대 모델 미토스가 코드 분석과 생성 능력에서 기존 오퍼스 4.7보다 훨씬 뛰어나다고 설명했다. 앤트로픽은 ‘프로젝트 글래스윙’이라는 이름으로, 애플, 구글, 마이크로소프트, 시스코, 리눅스 재단, 아마존 웹 서비스 등 주요 기업의 보안 연구자에게 미토스 사전 접근 권한과 취약점 탐지·수정에 사용할 수 있는 자금을 제공했다.

미토스는 얼마나 강력할까? 앞서 오퍼스 4.6으로 파이어폭스의 보안 버그 22개를 찾아냈던 팀이 미토스 프리뷰에 접근한 후, 파이어폭스 150 버전에는 미토스가 찾아낸 취약점 271개에 대한 수정이 반영됐다. 오퍼스가 22개를 찾아낸 이후, 미토스가 271개를 추가로 발견한 것이다.

파이어폭스 측은 “이 가운데 단 하나의 취약점만 있었어도 2025년에는 심각한 경보가 울렸을 것”이라며, “이렇게 많은 취약점을 한꺼번에 발견하는 속도를 따라잡는 것이 가능한지 의문이 들 정도”라고 밝혔다.

불균형을 해소하다

미토스는 코드 작성 능력도 뛰어나다는 평가다. 앤트로픽은 정식 공개 전에 핵심 기업이 이를 활용해 소프트웨어 보안 취약점을 점검할 수 있도록 하고 있다.

문제는 너무 강력한 나머지 악용될 가능성도 있다는 점이다. 악의적인 행위자는 이미 깃허브 같은 코드 저장소의 공개 도구를 악용하고 있다. 여기에 훨씬 더 강력한 AI 에이전트가 더해진다면 어떤 일이 벌어질지 상상하기 어렵지 않다. 앤트로픽이 미토스를 아직 대중에 공개하지 않고, 제한된 핵심 기업과 협력해 먼저 소프트웨어를 보강하도록 하는 이유다.

머지않아 iOS 업데이트는 해커가 이를 악용하기도 전에 수백 개의 보안 취약점을 선제적으로 패치할 수 있게 될지도 모른다.

Foundry

결국 미토스급, 혹은 그 이상의 AI 코딩 에이전트는 널리 보급될 것이다. 이것은 보안 악몽일까? 오히려 그 반대다. 세계 최대 소프트웨어 기업의 보안 엔지니어가 더 이상 구조적으로 불리한 위치에 놓이지 않게 된다는 의미다.

현재 모든 기기에는 너무 많은 코드와 소프트웨어 상호 연동성이 존재하므로 완전히 보호하는 것은 사실상 불가능하다. 해커는 시간 제약도 없고, 단 하나의 취약점만 찾으면 된다. 반면 보안 연구자는 제한된 인력으로 악용되기 전에 먼저 취약점을 찾아내고 수정해야 한다. 하지만 AI 에이전트는 대규모로 작동할 수 있다. 공개 전에 모든 코드를 샅샅이 검토할 수 있는 수천 명의 보안 전문가에 해당하는 역량을 소프트웨어 기업에 제공할 수 있다.

물론 고도화된 AI 코딩 에이전트는 공격자에게도 규모의 이점을 제공한다. 그러나 동시에 방어자 역시 동일한 규모로 취약점을 찾아내고 수정할 수 있게 된다. 과거에는 존재하지 않았던 새로운 이점이다. 공개 전에 코드를 점검할 수 있다는 점까지 고려하면, 사이버 보안 경쟁에서 ‘방어’가 ‘공격’보다 우위를 점할 가능성도 생긴다.

여기에 이런 고급 AI 코딩 에이전트를 개발할 수 있는 소수 기업과 보안 연구자가 협력해, 공개 버전에서 악용 가능성을 낮추는 안전장치를 설계한다면, 사이버 보안의 황금기가 열릴지도 모른다.

AI는 애플이 아이폰을 안전하게 만드는 데에도 도움을 줄 수 있다

Britta O’Boyle

애플 사용자에게 다가올 변화

최근 몇 차례의 주요 운영체제 업데이트에는 보안 수정이 대거 포함됐다. iOS 26.3에는 수십 건의 수정이 있었고, iOS 26.4에도 또다시 수십 건의 보안 패치가 포함됐다.

단기적으로는 올가을 공개될 iOS 27 업데이트가 그 어느 때보다 많은 보안 취약점을 제거할 것으로 예상된다. 동시에 일부 iOS 26 업데이트를 통해 이런 수정 사항이 구형 기기에도 적용될 가능성이 높다. 향후 6개월 안에 100건이 넘는 보안 수정이 포함된 운영체제 업데이트가 등장하더라도 놀라운 일은 아닐 것이다.

지금은 AI가 해커에게도, 소프트웨어 개발자에게도 동시에 힘을 실어주는 다소 불안한 과도기다. 하지만 현대 소프트웨어의 기반을 이루는 오래된 소프트웨어 라이브러리가 보강되면서, 이런 과도기는 오래가지 않을 가능성이 크다.

1~2년 내에 기기와 소프트웨어, 그리고 각종 서비스는 적어도 기술적인 측면에서는 그 어느 때보다 안전해질 전망이다. 이제 남은 과제는 사람들이 여전히 “123456”이나 “admin” 같은 비밀번호를 쓰는 습관만 고치는 일일지도 모른다.
dl-itworldkorea@foundryco.com