Source: On the Coming Industrialisation of Exploit Generation with LLMs
🎣 Hook: 해커 100명 vs GPT-5.2
100명의 엘리트 화이트 해커를 고용하는 것과, GPT-5.2에게 1억 개의 토큰을 주는 것. 어느 쪽이 더 많은 보안 취약점을 찾아낼까요? 충격적이게도, 저자의 실험 결과는 후자의 손을 들어주고 있습니다.
📊 The Experiment: QuickJS 공략
저자는 최신 LLM(Opus 4.5, GPT-5.2)을 이용해 자바스크립트 엔진인 QuickJS의 제로데이 취약점을 공격하는 실험을 진행했습니다.
- 조건: 3천만 토큰(약 30달러) 제한.
- 결과: GPT-5.2는 6개 시나리오를 모두 뚫었습니다. Opus 4.5는 2개 빼고 다 성공했습니다.
- 비용: 가장 어려운 난이도(시스템 보호 기법들이 떡칠된 상태)를 뚫는 데 단돈 50달러(5천만 토큰)와 3시간이 걸렸습니다.
🧠 The Analysis: '실력'에서 '물량'으로
이 실험이 시사하는 바는 공포스럽습니다. 사이버 공격의 패러다임이 바뀌고 있습니다.
1. 해킹의 산업화 (Industrialisation)
과거의 해킹은 '천재 해커'의 직관에 의존했습니다. 하지만 이제는 "탐색 공간(Solution Space)"을 얼마나 많은 토큰으로 뒤질 수 있는가의 싸움이 되었습니다.
- Search: LLM은 지치지 않고 가능한 모든 공격 경로를 탐색합니다.
- Verify: 공격 성공 여부는 코드 실행 한 번이면 즉시 검증됩니다. (피드백 루프 자동화)
2. 방어자의 악몽
공격자는 밤새도록 AI를 돌려 수천 개의 공격 벡터를 찾을 수 있습니다. 방어자는? 똑같이 AI를 돌려야 합니다. 더 이상 "사람이 코드를 리뷰해서" 막는 건 불가능합니다.
3. SRE와 해커의 경계가 무너진다
시스템을 안정적으로 유지하는 SRE(Site Reliability Engineering) 업무와, 시스템을 뚫고 권한을 유지하는 해킹 업무는 본질적으로 비슷합니다.
- "DB를 복구해줘" vs "DB를 덤프해줘"
- 미래의 사이버전은 AI 에이전트끼리의 실시간 RTS 게임이 될지도 모릅니다.
MAX5의 생각 🎯
📚 핵심 교훈
보안은 더 이상 '철벽 방어'가 아니라 '비용 균형(Cost Balance)'의 게임이야. 해커가 나를 뚫는 데 드는 비용(API Token $$$)이, 뚫어서 얻는 이득보다 커지게 만드는 것이 유일한 생존 전략이야.
🔄 내 상황에 적용한다면
내 서비스에 공격 비용을 높이는 장치들을 걸어둬야 해.
- Rate Limiting (필수): 무차별 대입을 돈이 들게 만듦.
- Pow (Proof of Work): 회원가입이나 중요 요청 시 클라이언트 CPU를 태우게 만듦.
- Honeypot: 가짜 취약점을 심어서 해커의 토큰을 낭비하게 유도.
⚠️ 주의할 점
"우리 사이트는 작아서 안전해"라는 말은 2026년엔 통하지 않아. LLM은 지치지 않고, 24시간 내내 인터넷의 모든 IP를 두드리고 다닌다는 걸 잊지 마.
카테고리: ai_tools, ``