인공지능(AI) 모델이 소프트웨어 취약점을 스스로 찾아내고 이를 악용하는 도구까지 개발하는 능력이 향상되면서, 소프트웨어 취약점 신고 및 ‘버그 현상금(bug bounty)’ 프로그램 시장에 전례 없는 변화가 찾아왔다. 과거 연구자들의 기여를 인정하며 성장했던 이 시장은 AI 기술 발전과 함께 새로운 국면에 접어들고 있다. 애플(Apple)의 경우 2016년 20만 달러였던 최고 현상금이 작년 200만 달러까지 치솟았으나, AI의 등장은 이러한 보상 체계와 시장의 역학 관계를 다시 한번 바꾸고 있다.
이러한 변화는 취약점 제출을 의뢰하는 기관과 이를 통해 수익을 얻는 연구자 양측의 경제학을 근본적으로 뒤흔들고 있다. 독립 보안 연구원 조셉 새커(Joseph Thacker)는 올해 취약점 제출 건수가 작년 대비 3배 증가했으며, 구글(Google) 같은 기업은 버그 현상금 지출이 2~10배 늘어날 것이라고 전망했다. 그는 “기술 대기업은 이러한 압력을 감당할 수 있지만, 대부분의 기업은 그렇지 못하다”며, 현재 AI 에이전트가 좋은 버그를 많이 발견하고 있지만, 내년에는 이미 많은 버그가 발견되어 제출 건수가 줄어들고 일부 기업은 다시 현상금을 올릴 것이라고 덧붙였다. 장기적인 공급 및 수요 역학 관계에 대해서는 전문가들조차 예측하기 어렵다고 인정하는 상황이다.
AI의 취약점 발견 및 악용 능력 증가는 개발자들이 패치를 더 신속하게 출시해야 한다는 압박으로 이어지고 있다. 보안 연구원 히만슈 아난드(Himanshu Anand)는 “90일 책임 공개 기간은 버그를 찾는 사람이 드물고 익스플로잇 개발이 느렸던 시대에 만들어졌다. 그 시대는 사라졌다. 거대 언어 모델(LLM)은 두 타임라인을 모두 압축했다”고 지적했다. 실제로 구글(Google) 연구원들은 최근 AI 도구를 사용해 이중 인증을 우회하는 제로데이(zero-day) 취약점을 개발, 악용하려던 사이버 범죄자들을 발견했다고 밝혔다. 구글 위협 인텔리전스 그룹(Google Threat Intelligence Group)의 수석 분석가 존 헐트퀴스트(John Hultquist)는 “모두가 이미 벌어지고 있다고 생각했지만, 이것이 그 증거”라고 강조하며 AI 기반 공격의 현실화를 알렸다.