구글이 막아낸 AI 제로데이, 보안의 기준이 바뀌고 있습니다

AI가 취약점을 찾아낸 시대, 개발자는 무엇을 더 신경 써야 할까

안녕하세요. 요즘 AI 관련 소식을 보면 대부분은 “업무가 빨라졌다”, “코딩을 대신해준다” 같은 이야기로 흘러가는 경우가 많습니다. 그런데 이번 구글 보고서는 조금 다른 느낌으로 다가왔습니다. AI가 개발자의 생산성을 높이는 도구인 동시에, 공격자에게도 꽤 강력한 도구가 될 수 있다는 점을 실제 사례로 보여줬기 때문입니다.

Google Threat Intelligence Group, 줄여서 GTIG는 2026년 5월 12일 보고서에서 AI로 개발된 것으로 보이는 제로데이 익스플로잇 사례를 처음 확인했다고 밝혔습니다. 제로데이는 쉽게 말하면 “제조사나 개발자가 아직 모르는 보안 구멍”입니다. 집으로 비유하면, 집주인도 모르는 뒷문을 누군가 먼저 찾아낸 상황에 가깝습니다. 기술적으로는 아직 패치가 나오기 전의 미공개 취약점을 악용하는 공격을 뜻합니다.

이번 이슈 한눈에 보기
구글은 한 사이버 범죄 조직이 AI의 도움을 받아 2단계 인증을 우회할 수 있는 제로데이 취약점을 찾아낸 것으로 보고 있습니다. 다행히 해당 취약점은 대규모 공격에 쓰이기 전에 업체와 협력해 차단됐다고 합니다.

1. 이번 사례가 유독 눈에 띄는 이유

보안 업계에서 AI를 활용한 공격 이야기는 예전부터 있었습니다. 피싱 메일을 더 자연스럽게 쓰거나, 악성코드 일부를 고치는 식의 활용은 이미 여러 번 언급됐죠. 그런데 이번 사례는 한 단계 더 나아갑니다. 구글은 공격자가 AI를 활용해 취약점 발견과 익스플로잇 개발에 접근한 것으로 보고 있습니다.

익스플로잇은 어려운 말처럼 들리지만, 쉽게 말하면 “발견한 약점을 실제로 열어젖히는 도구”입니다. 문틈이 있다는 사실을 아는 것과, 그 문틈을 이용해 실제로 문을 여는 방법을 만드는 것은 다릅니다. 보안에서 익스플로잇은 후자에 가깝습니다.

2. AI는 왜 이런 취약점을 잘 찾을 수 있을까

기존 보안 도구는 주로 정해진 패턴을 찾는 데 강합니다. 예를 들어 위험한 함수 사용, 메모리 오류, 입력값 검증 누락처럼 비교적 형태가 뚜렷한 문제를 잘 잡아냅니다. 반면 이번에 언급된 취약점은 단순한 문법 오류보다는 “개발자가 코드에 넣어둔 잘못된 신뢰 가정”에 가까웠습니다.

일상적으로 비유하면, 경비원이 출입증은 열심히 확인하는데 “이 문으로 들어오는 사람은 원래 믿어도 된다”는 예외 규칙을 코드 어딘가에 박아둔 상황입니다. 겉으로는 시스템이 멀쩡해 보여도, 전체 흐름을 읽어보면 인증 절차가 비는 지점이 생길 수 있습니다. 실제 기술 의미로 정리하면, AI 모델은 코드의 구조뿐 아니라 개발 의도와 예외 흐름을 함께 읽으면서 전통적인 스캐너가 놓칠 수 있는 논리적 취약점을 찾아낼 가능성이 커지고 있습니다.

3. 개발자에게 남는 현실적인 숙제

이 소식이 무섭게만 들릴 필요는 없습니다. 같은 AI가 방어 쪽에서도 쓰이고 있기 때문입니다. 구글도 Big Sleep, CodeMender 같은 AI 기반 방어 도구를 언급하며 취약점 탐지와 자동 수정 가능성을 함께 이야기했습니다. 결국 중요한 건 AI를 쓰느냐 마느냐가 아니라, 어떤 검증 체계 안에서 쓰느냐에 가까워 보입니다.

개발자 입장에서 보면 이제 보안은 “나중에 점검하는 단계”로만 두기 어려워졌습니다. 인증 로직, 권한 체크, 예외 처리, 관리자 기능처럼 공격자가 좋아할 만한 부분은 설계 단계부터 더 꼼꼼히 봐야 합니다. 특히 AI 코딩 도구가 만들어준 코드라면 더더욱 그냥 믿고 넘기기보다, 왜 이런 조건문이 들어갔는지, 어떤 사용자는 통과하고 어떤 사용자는 막히는지 직접 확인해야 합니다.

개인적으로 이번 뉴스는 AI가 개발자를 대체하느냐보다 더 현실적인 질문을 던진다고 느꼈습니다. “AI가 코드를 더 많이 만들게 된 시대에, 우리는 그 코드를 얼마나 제대로 검증하고 있을까?”라는 질문입니다. 앞으로 좋은 개발자는 코드를 빨리 쓰는 사람만이 아니라, AI가 만든 결과물까지 안전하게 운영 가능한 형태로 걸러내는 사람이 될 가능성이 큽니다.

AI가 공격자의 속도를 올린다면, 방어하는 쪽도 같은 속도로 움직여야 합니다. 다만 그 과정에서 사람의 판단이 빠지면 안 됩니다. 보안은 결국 “돌아가는 코드”보다 “믿고 운영할 수 있는 코드”를 만드는 일에 더 가까우니까요.

참고한 출처

• Google Cloud Blog, Google Threat Intelligence Group, “Adversaries Leverage AI for Vulnerability Exploitation, Augmented Operations, and Initial Access”, 2026년 5월 12일
  https://cloud.google.com/blog/topics/threat-intelligence/ai-vulnerability-exploitation-initial-access
• Reuters, “Hackers pushing innovation in AI-enabled hacking operations, Google says”, 2026년 5월 11일
  https://www.reuters.com/legal/litigation/hackers-pushing-innovation-ai-enabled-hacking-operations-google-says-2026-05-11/
• AP News, “Google disrupts hackers using AI to exploit an unknown weakness in a company’s digital defense”, 2026년 5월 11일
  https://apnews.com/article/google-ai-cybersecurity-exploitation-mythos-926aea7f7dc5e0e61adce3273c55c6d4