Anthropic의 대표 언어 모델 Claude가 학생 대상 해킹 대회에서 인간 팀을 뛰어넘는 성과를 내며 사이버보안 분야에 새로운 충격파를 던지고 있다. Carnegie Mellon 대회인 PicoCTF와 Hack the Box 등에서 Claude는 최소한의 인간 개입만으로 공격 과제를 자동 수행해 상위 그룹에 진입했다.

특히 PicoCTF에서는 Claude가 20개 중 11개 과제를 단 10분 만에 해결한 후, 이어진 10분 동안 추가로 5개를 성공해 4위에 오른 사례도 기록되었다. Anthropic의 레드 팀 멤버 Keane Lucas는 “처음에는 호기심 차원에서 참여했는데, 결과가 놀라웠다”고 밝혔다.

이 같은 실적은 Claude가 리버스 엔지니어링, 악성 코드 분석, 시스템 침투 등 공격적 사이버 역량에서도 인간 수준 혹은 그 이상의 판단력을 갖추고 있음을 보여준다. Hack the Box 참가팀 중 60% 이상이 AI 기반이었으며, 이들 5개 팀 중 Claude 포함 모델들이 대부분 과제 해결률 95% 이상을 기록한 것으로 전해졌다.

보안업계 전문가들은 Claude의 성과가 AI 기반 취약점 탐지와 침투 테스트의 가능성을 입증했다고 평가하면서도, 여전히 비정형 입력이나 예상 밖 애니메이션 기반 문제에서는 Claude가 어려움을 겪는 한계도 지적하고 있다.

이 가운데, AI가 공격 도구로도 활용 가능하다는 점은 방어 전략에도 큰 변화를 요구한다. Anthropic의 Red Team은 “보안 커뮤니티가 AI 에이전트의 해킹 역량을 과소평가하고 있다”며, “수비용 AI 도구도 시급히 개발돼야 한다”고 강조했다.

Stack Overflow 기반 자료에 따르면, AI 기반 코드 분석 에이전트는 아직 전체 버그의 약 2%만 탐지하는 수준이나, Claude와 OpenHands 조합은 zero-day 취약점 다수를 선제적으로 발견해내는 데 성공했다는 평가도 나오고 있다.

이번 사례는 AI가 향후 사이버보안 시장에서 방어뿐 아니라 공격 측면에서도 핵심 주력 도구로 떠오를 수 있음을 보여준다. 기업과 기관은 AI 보안 도구의 윤리적 통제, 악용 가능성에 대한 거버넌스, AI 기반 공격 대응 체계 마련을 통해 동시에 역할에 대비해야 한다는 과제를 명확히 인식해야 할 시점이다.

글 / 한만수 news@cowave.kr

(c) 비교하고 잘 사는, 다나와 www.danawa.com