AI 기반 발견으로 역사상 최대 규모의 OpenSSL 제로데이 12건 공개

AI 시스템, OpenSSL에서 12건의 제로데이 취약점 발견

AISLE이 개발한 AI 기반 보안 연구 시스템이 OpenSSL 프로젝트의 2026년 1월 27일 보안 릴리스에서 12건의 이전에 알려지지 않은 제로데이 취약점을 식별했습니다. 이번 발견은 자동화된 취약점 연구 분야에서 역사적인 이정표로 기록되었으며, 해당 AI 시스템은 2025년에 OpenSSL에 할당된 14건의 CVE 중 13건과 최근 두 차례 릴리스에서 총 15건을 발견했습니다. 이는 어떤 연구팀도 달성하지 못한 기록이며, 특히 AI 기반 시스템으로서는 전례 없는 성과입니다.

취약점의 기술적 세부 사항

발견된 결함에는 CVE-2025-15467이 포함되며, 이는 CMS 메시지 파싱에서의 스택 버퍼 오버플로우로 OpenSSL에 의해 **높은 심각도(HIGH)**로, NIST에 의해 **심각(CRITICAL, CVSS 9.8)**으로 평가되었습니다. 이 취약점은 유효한 키 자료 없이 원격으로 악용 가능하며, 이미 온라인에서 악용 코드가 등장했습니다. 주요 사항은 다음과 같습니다:

• 3건의 취약점은 1998~2000년으로 거슬러 올라가 25년 이상 탐지되지 않았으며, 이는 광범위한 퍼징(fuzzing) 및 감사(audit)에도 불구하고 발견되지 않았음을 의미합니다.
• 1건의 결함은 OpenSSL의 전신인 SSLeay에서 기원했으며, 프로젝트 자체보다 앞선 것입니다.
• 12건 중 5건의 취약점에는 AI가 생성한 패치가 포함되었으며, 이는 공식 OpenSSL 릴리스에 수용되었습니다.

OpenSSL 코드베이스는 Google을 포함한 팀에 의해 수백만 CPU-시간의 퍼징 및 감사를 거쳤으며, 오랫동안 안전한 소프트웨어 개발의 벤치마크로 여겨졌습니다. 그러나 이번 발견은 전통적인 취약점 발견 방법의 효율성에 대한 가정을 뒤흔들었습니다.

영향 및 시사점

이번 발견은 사이버 보안 연구에서 AI의 혁신적 잠재력을 강조하며, AI가 수십 년간 인간의 분석과 기계적 검증을 회피한 깊은 역사적 결함을 발견할 수 있음을 입증했습니다. 그러나 AI 기반 취약점 발견의 이중적 성격은 중요한 질문을 제기합니다:

• 공격적 응용: 위협 행위자들이 유사한 AI 시스템을 활용하여 대규모로 제로데이를 식별하고 악용할 수 있습니다.
• 방어적 발전: AI 기반 도구는 취약점 패치 속도를 가속화하고 주요 소프트웨어의 노출 기간을 단축할 수 있습니다.
• 연구 패러다임 전환: 단일 AI 시스템이 집중적으로 발견한 이번 사례는 자동화된 보안 연구의 새로운 시대를 예고하며, AI가 인간 주도의 노력을 보완하거나 심지어 능가할 수 있음을 시사합니다.

보안팀을 위한 권장 사항

1. 패치 우선 적용: OpenSSL을 사용하는 조직은 2026년 1월 27일 보안 업데이트를 즉시 적용해야 하며, 특히 CVE-2025-15467 및 기타 높은 심각도의 결함을 우선 처리해야 합니다.
2. 악용 코드 모니터링: CVE-2025-15467에 대한 악용 코드가 공개된 만큼, 보안팀은 관련 공격 패턴에 대한 모니터링을 강화해야 합니다.
3. AI 기반 도구 평가: 내부 보안 연구 및 레드팀 워크플로우에 AI 기반 취약점 발견 도구를 통합하는 방안을 검토해야 합니다.
4. 레거시 코드 검토: 25년 된 취약점의 발견은 잘 감사되었다고 여겨지는 기반 코드베이스에 대한 회고적 감사의 필요성을 강조합니다.

AISLE 팀의 이번 발견은 사이버 보안의 분수령을 의미하며, AI가 더 이상 보조 도구가 아닌 취약점 발견의 주요 동력으로 자리매김했음을 보여줍니다. AI 기술이 발전함에 따라 방어자와 공격자 모두 이러한 시스템에 점점 더 의존하게 될 것이며, 이는 위협 환경을 실시간으로 재구성할 것입니다.