.jpg)
한국팀 ‘AIxCC’에서 1위 차지...한민족 저력 보여줘
취약점 탐지와 패치에 통상 90일 걸리던 작업 단 45분만에 끝내
삼성리서치, KAIST 등의 우수 보안 인재들이 AI 허점 메우며 쾌거
[보안뉴스 성기노 기자] 2025년 8월 미국 라스베이거스에서 열린 세계 최대 보안 기술 경진 대회에서 놀라운 장면이 나왔다. 한국팀이 AI를 활용해 취약점 탐지와 패치에 통상 90일은 걸리던 작업을 단 45분 만에 끝내며 우승을 차지한 것이다. 한국팀의 ‘빨리빨리 패치’가 보안 분야에서 그 ‘성능’을 완전히 인정받은 것이다.
▲미국 보건복지부 부장관 짐 오닐(왼쪽)과 DARPA 국장 스티븐 윈첼(오른쪽)이 우승팀 팀 애틀랜타와 기념촬영 모습. [자료:삼성리서치]
하지만 이 속도 뒤에는 AI만의 힘이 있었던 건 아니다. AI는 강력하지만 혼자서는 무력하다. 사람의 판단력과 창의성이 결합할 때 비로소 사이버보안의 위력은 극대화된다. 한국팀의 우승은 타 팀이 따라올 수 없는 놀라운 속도와 더불어 우수한 인적 자원의 보안 대응 능력이 함께 만든 결과였다.
이 대회의 성격을 알면 그 의미는 더욱 커진다. 미국 국방부 산하 국방고등연구계획국(DARPA)이 주최하는 AI 사이버 챌린지(AIxCC)는 보안업계에서 ‘AI 보안 올림픽’이라 불린다. 이 무대에서 삼성리서치를 주축으로 한 ‘팀 애틀랜타’(Team Atlanta)가 세계 정상에 올랐다.
2,250만 달러(약 313억원)의 총 상금이 걸린 이 대회는 AI를 활용해 대규모 소프트웨어의 취약점을 찾아 패치하는 능력을 겨룬다. 지금까지 AI의 발전 속도는 공격형 영역(취약점 자동 탐색, 악성코드 생성 등)이 훨씬 빨랐다. 하지만 AIxCC는 “공격이 아닌 방어에 AI를 어떻게 전술적으로 쓸 수 있는가”를 검증하는 실험장이었다.
참가팀은 사람 개입 없이 AI만으로 소스코드를 자동 분석하고 복잡한 취약점을 찾아내며 보안 패치를 생성·적용해야 한다. AI의 속도와 정확성, 그리고 그 AI를 설계·운용하는 인적 자원의 역량이 모두 시험대에 오른다. 이 대회의 비전은 전력, 통신, 의료 같은 사회 기반 시스템을 ‘방어’하는 차세대 보안 기술 개발이다.
팀 애틀랜타는 삼성전자의 선행 연구개발조직인 삼성리서치, 조지아텍, 카이스트, 포스텍 등 세계적인 보안 연구원 40여 명으로 구성됐다. 이들은 8월 8일 결승전에서 54개 합성 취약점 중 77%를 찾아내고 43개를 패치했다. 평균 비용은 단 152달러. 기존 버그 바운티(Bug Bounty: 기업이나 기관이 자신들의 소프트웨어·웹서비스·시스템에서 발견되는 보안 취약점(버그)를 외부 보안 전문가나 해커에게 제보받고 그 대가로 현금이나 보상금을 주는 제도)의 수백 배 저렴한 비용으로 90일짜리 작업을 단 45분만에 끝냈다.
결과는 압도적이었다. 기존에 석 달 가까이 걸리던 취약점 탐지·수정 과정을 단 45분 만에 끝냈고 그 속도와 완성도는 다른 경쟁팀을 넘어섰다. 우승 상금 400만 달러(약 56억 원)도 함께 차지했지만 더 중요한 것은 AI와 인재의 결합이 대응 속도를 얼마나 압축할 수 있는지 세계 무대에서 증명했다는 점이다.
이 성과의 핵심은 AI와 화이트해커(보안 인적 자원)의 시너지 효과다. 이번 대회에서 한국팀이 건진 수확은 보안에 있어 ‘사람’의 중요성이다. AI가 방대한 코드를 초고속으로 스캔했지만 예상치 못한 실제 취약점(18개)을 찾아낸 건 화이트해커의 직관과 창의성이었다. 삼성리서치의 김태수 부사장은 “글로벌 협업과 인간의 판단력이 승리를 만들었다”고 밝혔다.
▲AIxCC에서 우승한 팀 애틀랜타. 삼성리시처와 국내외 주요 대학 연합 단체 사진. [자료:삼성리서치]
한국팀은 KAIST와 POSTECH의 학문적 통찰, 삼성의 산업적 실행력이 결합한 ‘산학 협동 모델’을 훌륭하게 창조해 낸 것이다. 특히 이들은 단순한 알고리즘이 아닌 ‘사람 중심의 보안 혁신’을 증명했다. 이는 최근 통신사와 정부부처를 노린 북한 ‘김수키’ 해킹처럼 정교한 APT(Advanced(정교함) Persistent(지속성) Threat(위협)의 3가지 머리글자로서 짧게 치고 빠지는 해킹이 아니라 장기 잠복형 침투전을 일컬음) 공격에 맞설 실질적 대응력을 보여주었다는 평가를 받았다.
AIxCC에서 ‘팀 애틀랜타’의 승리는 화이트해커의 판단력과 팀워크가 AI의 부족한 부분을 채워주거나 때로는 AI의 능력을 넘어서는 인간의 무한능력을 보여준 것이다. 그만큼 보안 분야에서는 ‘사람’의 능력과 컨트롤이 중요하다.
하지만 국내 현실은 녹록지 않다. 국가안보실 사이버안보비서관 자리가 공석인 가운데 보안 인력은 부족하고 민·관 협력은 여전히 분산돼 있다. 북한과 중국 추정 해커가 정부와 민간을 동시에 노리는 지금 보안 컨트롤타워의 공백은 산업계의 치명적 약점이다.
앞으로 보안 산업계가 나아갈 길은 명확하다. 첫째, 민·관 협력을 강화해야 한다. 이번 대회에서 삼성리서치와 대학의 협업에 대한 시너지 효과가 확인된 만큼 기업과 학계가 AI 보안 기술을 공유해야 한다. 둘째, 인재 양성은 기본이다. 화이트해커를 체계적으로 훈련하고 AI 활용 교육을 확대해야 한다.
셋째는 보안 사고 발생 시 신속 대응 능력을 강화하는 것이다. 보안 담당자의 판단력을 믿고 빠른 의사결정을 지원하는 조직 문화를 만들어야 한다. 구글, 오픈AI, 안랩 등 글로벌 기업들이 AIxCC에서 협력한 것처럼 한국도 국제 보안 네트워크에 적극 참여해야 한다.
또한 AIxCC의 성격과 위상을 생각하면 이번 우승은 단순히 세계수학경시대회에서 한국 학생이 우승을 차지한 것과 같은 ‘두뇌 자랑’이 아니다. 이 대회에서 한국팀이 입증한 것은 사이버보안 위기 상황에서 국가와 산업이 얼마나 빨리 복구할 수 있는지를 좌우하는 것이 그 핵심 역량이었다.
▲2위를 차지한 뉴욕 기반의 트레일 오브 비츠(Trail of Bits). [자료:삼성리서치]
예를 들어 전력망, 통신망, 교통시스템 같은 국가 기반 시설이 해킹으로 멈췄을 때 대응 시간이 90일에서 45분으로 줄어든다면 피해 범위와 손실액은 비교할 수 없을 만큼 작아진다. 한전 등의 전력이 해킹당하면 발전소 제어 시스템이 마비되면서 전기 공급 중단과 함께 대규모 정전 사태가 발생한다.
해커에서부터 원상복구까지 걸리는 시간이 많게는 몇 달이지만 그것을 단 45분으로 줄일 수 있다면 국가 경제 손실도 최소화된다. 이는 곧 ‘사이버 회복력’을 끌어올리는 것이고 산업 전반의 연속성과 국가 운영의 안정성을 지키는 일이다.
결국 이번 한국팀의 우승은 탁월한 인재(화이트해커)의 보유와 함께 한민족 특유의 ‘빨리빨리’ 민족성이 보안 분야에서는 상당히 효과적인 DNA임을 입증한 셈이다. 한국팀이 AIxCC에서 입증해낸 건 국가 기간망 해킹 때 그 취약점을 빠르게 찾아내고 패치함으로써 중단된 시스템과 서비스가 가능한 한 빨리 정상화되는 복원 능력을 훌륭하게 수행해냈다는 점이다.
여기서 복구의 범위는 ‘서버 재가동’같은 기술적 차원을 넘어 사회 기반 서비스와 산업 활동 전체를 다시 돌려세우는 시간 단축까지 포함하는 것이다. 이런 점에서 유능한 화이트해커의 존재는 국가 보안 시스템의 방어뿐 아니라 회복에도 커다란 기여를 하는 셈이다.
보안분야에서 ‘속도의 경제학’은 산업의 경쟁력과 직결된다. 보안 사고 대응 시간이 3일에서 3시간으로 줄어들면 피해 규모는 수백억 원에서 수십억 원으로 떨어진다. 잘 키운 화이트해커 하나가 열 산업전사보다 더 값진 이유다.
보안에서 속도는 곧 ‘돈’이다. 속도를 지배하는 자가 산업을 지배한다. 그리고 그 속도는 우수한 인적 자원이 만들어 낸다. 결국 보안은 사람의 문제인 것이다.
[성기노 기자(kino@boannews.com)]
취약점 탐지와 패치에 통상 90일 걸리던 작업 단 45분만에 끝내
삼성리서치, KAIST 등의 우수 보안 인재들이 AI 허점 메우며 쾌거
[보안뉴스 성기노 기자] 2025년 8월 미국 라스베이거스에서 열린 세계 최대 보안 기술 경진 대회에서 놀라운 장면이 나왔다. 한국팀이 AI를 활용해 취약점 탐지와 패치에 통상 90일은 걸리던 작업을 단 45분 만에 끝내며 우승을 차지한 것이다. 한국팀의 ‘빨리빨리 패치’가 보안 분야에서 그 ‘성능’을 완전히 인정받은 것이다.
▲미국 보건복지부 부장관 짐 오닐(왼쪽)과 DARPA 국장 스티븐 윈첼(오른쪽)이 우승팀 팀 애틀랜타와 기념촬영 모습. [자료:삼성리서치]
하지만 이 속도 뒤에는 AI만의 힘이 있었던 건 아니다. AI는 강력하지만 혼자서는 무력하다. 사람의 판단력과 창의성이 결합할 때 비로소 사이버보안의 위력은 극대화된다. 한국팀의 우승은 타 팀이 따라올 수 없는 놀라운 속도와 더불어 우수한 인적 자원의 보안 대응 능력이 함께 만든 결과였다.
이 대회의 성격을 알면 그 의미는 더욱 커진다. 미국 국방부 산하 국방고등연구계획국(DARPA)이 주최하는 AI 사이버 챌린지(AIxCC)는 보안업계에서 ‘AI 보안 올림픽’이라 불린다. 이 무대에서 삼성리서치를 주축으로 한 ‘팀 애틀랜타’(Team Atlanta)가 세계 정상에 올랐다.
2,250만 달러(약 313억원)의 총 상금이 걸린 이 대회는 AI를 활용해 대규모 소프트웨어의 취약점을 찾아 패치하는 능력을 겨룬다. 지금까지 AI의 발전 속도는 공격형 영역(취약점 자동 탐색, 악성코드 생성 등)이 훨씬 빨랐다. 하지만 AIxCC는 “공격이 아닌 방어에 AI를 어떻게 전술적으로 쓸 수 있는가”를 검증하는 실험장이었다.
참가팀은 사람 개입 없이 AI만으로 소스코드를 자동 분석하고 복잡한 취약점을 찾아내며 보안 패치를 생성·적용해야 한다. AI의 속도와 정확성, 그리고 그 AI를 설계·운용하는 인적 자원의 역량이 모두 시험대에 오른다. 이 대회의 비전은 전력, 통신, 의료 같은 사회 기반 시스템을 ‘방어’하는 차세대 보안 기술 개발이다.
팀 애틀랜타는 삼성전자의 선행 연구개발조직인 삼성리서치, 조지아텍, 카이스트, 포스텍 등 세계적인 보안 연구원 40여 명으로 구성됐다. 이들은 8월 8일 결승전에서 54개 합성 취약점 중 77%를 찾아내고 43개를 패치했다. 평균 비용은 단 152달러. 기존 버그 바운티(Bug Bounty: 기업이나 기관이 자신들의 소프트웨어·웹서비스·시스템에서 발견되는 보안 취약점(버그)를 외부 보안 전문가나 해커에게 제보받고 그 대가로 현금이나 보상금을 주는 제도)의 수백 배 저렴한 비용으로 90일짜리 작업을 단 45분만에 끝냈다.
결과는 압도적이었다. 기존에 석 달 가까이 걸리던 취약점 탐지·수정 과정을 단 45분 만에 끝냈고 그 속도와 완성도는 다른 경쟁팀을 넘어섰다. 우승 상금 400만 달러(약 56억 원)도 함께 차지했지만 더 중요한 것은 AI와 인재의 결합이 대응 속도를 얼마나 압축할 수 있는지 세계 무대에서 증명했다는 점이다.
이 성과의 핵심은 AI와 화이트해커(보안 인적 자원)의 시너지 효과다. 이번 대회에서 한국팀이 건진 수확은 보안에 있어 ‘사람’의 중요성이다. AI가 방대한 코드를 초고속으로 스캔했지만 예상치 못한 실제 취약점(18개)을 찾아낸 건 화이트해커의 직관과 창의성이었다. 삼성리서치의 김태수 부사장은 “글로벌 협업과 인간의 판단력이 승리를 만들었다”고 밝혔다.
▲AIxCC에서 우승한 팀 애틀랜타. 삼성리시처와 국내외 주요 대학 연합 단체 사진. [자료:삼성리서치]
한국팀은 KAIST와 POSTECH의 학문적 통찰, 삼성의 산업적 실행력이 결합한 ‘산학 협동 모델’을 훌륭하게 창조해 낸 것이다. 특히 이들은 단순한 알고리즘이 아닌 ‘사람 중심의 보안 혁신’을 증명했다. 이는 최근 통신사와 정부부처를 노린 북한 ‘김수키’ 해킹처럼 정교한 APT(Advanced(정교함) Persistent(지속성) Threat(위협)의 3가지 머리글자로서 짧게 치고 빠지는 해킹이 아니라 장기 잠복형 침투전을 일컬음) 공격에 맞설 실질적 대응력을 보여주었다는 평가를 받았다.
AIxCC에서 ‘팀 애틀랜타’의 승리는 화이트해커의 판단력과 팀워크가 AI의 부족한 부분을 채워주거나 때로는 AI의 능력을 넘어서는 인간의 무한능력을 보여준 것이다. 그만큼 보안 분야에서는 ‘사람’의 능력과 컨트롤이 중요하다.
하지만 국내 현실은 녹록지 않다. 국가안보실 사이버안보비서관 자리가 공석인 가운데 보안 인력은 부족하고 민·관 협력은 여전히 분산돼 있다. 북한과 중국 추정 해커가 정부와 민간을 동시에 노리는 지금 보안 컨트롤타워의 공백은 산업계의 치명적 약점이다.
앞으로 보안 산업계가 나아갈 길은 명확하다. 첫째, 민·관 협력을 강화해야 한다. 이번 대회에서 삼성리서치와 대학의 협업에 대한 시너지 효과가 확인된 만큼 기업과 학계가 AI 보안 기술을 공유해야 한다. 둘째, 인재 양성은 기본이다. 화이트해커를 체계적으로 훈련하고 AI 활용 교육을 확대해야 한다.
셋째는 보안 사고 발생 시 신속 대응 능력을 강화하는 것이다. 보안 담당자의 판단력을 믿고 빠른 의사결정을 지원하는 조직 문화를 만들어야 한다. 구글, 오픈AI, 안랩 등 글로벌 기업들이 AIxCC에서 협력한 것처럼 한국도 국제 보안 네트워크에 적극 참여해야 한다.
또한 AIxCC의 성격과 위상을 생각하면 이번 우승은 단순히 세계수학경시대회에서 한국 학생이 우승을 차지한 것과 같은 ‘두뇌 자랑’이 아니다. 이 대회에서 한국팀이 입증한 것은 사이버보안 위기 상황에서 국가와 산업이 얼마나 빨리 복구할 수 있는지를 좌우하는 것이 그 핵심 역량이었다.
▲2위를 차지한 뉴욕 기반의 트레일 오브 비츠(Trail of Bits). [자료:삼성리서치]
예를 들어 전력망, 통신망, 교통시스템 같은 국가 기반 시설이 해킹으로 멈췄을 때 대응 시간이 90일에서 45분으로 줄어든다면 피해 범위와 손실액은 비교할 수 없을 만큼 작아진다. 한전 등의 전력이 해킹당하면 발전소 제어 시스템이 마비되면서 전기 공급 중단과 함께 대규모 정전 사태가 발생한다.
해커에서부터 원상복구까지 걸리는 시간이 많게는 몇 달이지만 그것을 단 45분으로 줄일 수 있다면 국가 경제 손실도 최소화된다. 이는 곧 ‘사이버 회복력’을 끌어올리는 것이고 산업 전반의 연속성과 국가 운영의 안정성을 지키는 일이다.
결국 이번 한국팀의 우승은 탁월한 인재(화이트해커)의 보유와 함께 한민족 특유의 ‘빨리빨리’ 민족성이 보안 분야에서는 상당히 효과적인 DNA임을 입증한 셈이다. 한국팀이 AIxCC에서 입증해낸 건 국가 기간망 해킹 때 그 취약점을 빠르게 찾아내고 패치함으로써 중단된 시스템과 서비스가 가능한 한 빨리 정상화되는 복원 능력을 훌륭하게 수행해냈다는 점이다.
여기서 복구의 범위는 ‘서버 재가동’같은 기술적 차원을 넘어 사회 기반 서비스와 산업 활동 전체를 다시 돌려세우는 시간 단축까지 포함하는 것이다. 이런 점에서 유능한 화이트해커의 존재는 국가 보안 시스템의 방어뿐 아니라 회복에도 커다란 기여를 하는 셈이다.
보안분야에서 ‘속도의 경제학’은 산업의 경쟁력과 직결된다. 보안 사고 대응 시간이 3일에서 3시간으로 줄어들면 피해 규모는 수백억 원에서 수십억 원으로 떨어진다. 잘 키운 화이트해커 하나가 열 산업전사보다 더 값진 이유다.
보안에서 속도는 곧 ‘돈’이다. 속도를 지배하는 자가 산업을 지배한다. 그리고 그 속도는 우수한 인적 자원이 만들어 낸다. 결국 보안은 사람의 문제인 것이다.
[성기노 기자(kino@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)