🔍 핵심 요약
- 생성형 AI로 제작된 무분별한 보안 취약점 보고서인 'AI 슬롭(Slop)'이 급증하며 버그 바운티 프로그램이 위기에 처했습니다. 대량의 저품질 제보가 기업의 보안 검토 리소스를 고갈시키며 실제 위협 탐지를 방해하고 있습니다.
상세 분석
사이버 보안 업계의 윤리적 해킹 보상 체계인 ‘버그 바운티(Bug Bounty)’ 생태계가 생성형 AI가 만들어낸 저품질 정보인 이른바 ‘AI 슬롭(AI Slop)‘으로 인해 심각한 위협에 직면해 있습니다. 최근 거대언어모델(LLM)을 악용하여 그럴듯한 형식을 갖추었지만 실질적인 기술적 가치가 없거나 허위인 보안 취약점 보고서를 대량으로 생성하여 제출하는 사례가 급증하고 있습니다. 이러한 현상은 기업의 보안 담당자들이 한정된 리소스를 실제 위협 분석에 투입하는 대신, 끊이지 않고 밀려드는 AI 생성 스팸을 가려내는 데 낭비하게 만드는 ‘행정적 마비’ 상태를 초래하고 있습니다.
AI 슬롭의 범람은 단순한 업무 과중을 넘어 버그 바운티 프로그램의 경제적 존립 자체를 흔들고 있습니다. 과거의 취약점 제보가 고도의 기술적 분석을 바탕으로 한 인간 해커의 정교한 산물이었다면, 현재의 상황은 비용이 거의 들지 않는 자동화 도구로 ‘그물 던지기’ 식 제보를 남발하는 구조로 변질되었습니다. 이로 인해 기업들은 AI 슬롭을 걸러내기 위해 역설적으로 또 다른 AI 탐지 시스템을 도입해야 하는 비용 부담을 안게 되었습니다.
이러한 ‘비대칭적 비용 전쟁’은 결국 버그 바운티 보상금의 삭감이나 진입 장벽의 강화로 이어질 가능성이 높으며, 이는 결과적으로 진지하게 활동하는 보안 연구자들의 의욕을 꺾고 생태계 전반의 신뢰도를 떨어뜨리는 악순환을 유발하고 있습니다. 보안 업계는 이제 AI로 인한 기술적 위협뿐만 아니라, AI가 생산하는 정보의 공해로부터 시스템을 보호해야 하는 새로운 국면에 접어들었습니다.
시사점
AI가 보안을 강화하는 도구가 아닌, 시스템을 마비시키는 ‘데이터 오염원’으로 작동하는 역설적인 상황이 발생하고 있습니다. 이는 미래의 보안 위협이 기술적 파괴력보다 ‘행정적 비용의 폭발’을 유도하여 방어 체계를 무너뜨리는 방향으로 진화할 것임을 시사합니다.
