과거의 제로데이(*Zero Day: ‘취약점이 발견된 날(0일)’부터 패치가 나오기 전까지 공격자가 먼저 악용하는 상황)은 국가급 해커의 비밀 무기였습니다. 이제 AI가 누구나 제로데이를 대량 생산할 수 있는 시대를 열었습니다. 당신의 조직은 이 속도를 감당할 준비가 되었습니까?
‘제로데이의 민주화, 그리고 희소성의 종말
과거 보안 업계에서 ‘제로데이(0-Day) 취약점’은 막강한 자금력과 고도의 기술을 보유한 국가 기관이나 전문 해커 집단만이 가질 수 있는 전유물이었습니다. 다크웹에서 수억 원에 거래되던 이 ‘비대칭 무기’는 발견이 어려웠고, 그만큼 방어자에게는 공포의 대상이었습니다. 하지만 시대가 변했습니다. 엔트로픽(Anthropic)이 공개한 새로운 모델 ‘클로드 미소스(Claude Mythos)’는 이러한 상식을 완전히 뒤집었습니다. AI가 단 몇 시간 만에 복잡한 소스코드를 분석해 제로데이를 찾아내고, 익스플로잇(Exploit:공격 코드)까지 생성하는 단계에 이르렀기 때문입니다. 이제 제로데이는 더 이상 특별한 무기가 아니라, 누구나 대량으로 쏟아낼 수 있는 ‘일상적인 위협’이 되었습니다. 엔트로픽은 이를 보안의 ‘기준이 바뀌는 순간(Watershed Moment)’라고 말했습니다.
이제 기계가 기계의 속도로 취약점을 찾아내는 시대입니다.
보안의 핵심은 ‘누가 더 많이 찾는가’라는 탐지 기술의 경쟁에서 ‘누가 더 빨리 조치하는가’라는 운영의 경쟁으로 옮겨 갔습니다.
‘탐지의 시대’에서 ‘운영의 시대’로: 생존을 위한 체질 개선
과거에는 취약점을 발견하는 것 자체가 고도의 전문 영역이었기에 보안의 중심도 탐지 도구(Scanner)에 있었습니다. 하지만 AI가 분석을 가속화하는 지금, 탐지 결과는 정보가 아니라 ‘소음(Noise)’이 될 수 도 있습니다. 취약점이 쏟아지게 되면 조직은 다음 질문에 즉각 답할 수 있는 체계를 갖춰야 합니다.
- 실시간 가시성(Real-time Visibility): 우리 제품의 어떤 버전, 어떤 하위 모듈에 해당 취약점이 포함되어 있는지 즉시 식별할 수 있는가?
- 공급망 확장성(Supply Chain Scalability): 협력사로부터 받은 소프트웨어와 고객사로 전달된 최종 산출물 전체를 아우르는 가시성을 확보하고 있는가?
- 맥락 기반 우선순위(VEX & Context): 수천 개의 취약점 중 우리 환경에서 실제로 악용 가능한(Exploitable) 위험을 선별해낼 수 있는가?
- 조치 자동화(Remediation Workflow): 고객이나 파트너사가 물어오기 전에 우리가 먼저 정확한 영향도와 조치를 자동화하고 계획을 설명할 수 있는가?
이 역량이 결여된 상태에서의 탐지는 조직을 더 안전하게 만드는 것이 아니라, 오히려 처리하지 못하는 경고들에 더 오래 끌려다니게 만들 뿐입니다.
SBOM, 규제 대응용 ‘문서’에서 ‘살아있는 데이터’로
미국 사이버보안 및 인프라 보안국(CISA)는 소프트웨어자재명세서(SBOM)를 소프트웨어의 위험을 평가하고 조치하기 위한 가장 기본적인 ‘지도’로 정의합니다. 하지만 여전히 많은 기업이 SBOM을 규제 대응을 위한 일회성 제출 문서로만 취급합니다.
생성형 AI 시대를 버티기 위해서는 ‘살아있는 SBOM 운영 체계’가 필수입니다.
이제 조직은 코드 변경이나 배포 시점에 SBOM을 자동 갱신해 최신성을 유지해야 합니다.단순히 파일 목록을 나열하는 것이 아니라, 소프트웨어가 협력사-당사-고객사로 흐르는 전체 공급망 경로 상의 이력을 추적해야 합니다.
VEX(Vulnerability Exploitability eXchange)를 결합하여 “취약점은 존재하지만, 우리 환경에서는 악용될 수 없음”과 같은 구체적인 상태 정보를 공유함으로써 불필요한 공수를 줄여야 합니다.
협력사와 고객사를 잇는 ‘End-to-End 가시성’ 확보
공급망 보안이 어려운 이유는 우리 내부의 소스코드만 봐서는 답이 나오지 않기 때문입니다. 실제 비즈니스 환경은 협력사가 제공한 라이브러리, 외부 SDK, 그리고 우리가 고객사로 보낸 납품물들이 거대한 사슬로 얽혀 있습니다.이 사슬의 어느 한 곳이라도 끊겨 있으면 취약점 발생 시마다 ‘전수조사-수작업 확인-늑장 대응’의 굴레를 벗어날 수 없습니다.
이제 기업은 자사 제품을 넘어 유입되고 유출되는 모든 소프트웨어 구성요소를 하나의 흐름으로 볼 수 있는 가시성을 확보해야 합니다. 이는 보안 기술을 넘어 기업 간의 ‘신뢰’를 담보하는 핵심 인프라가 될 것입니다.
AI 시대, 보안 승부처는 ‘조치’와 ‘설명력’
엔트로픽이 프로젝트 글래스윙(Project Glasswing: SW 보안 취약점에 대응하기 위한 프로젝트)를 통해 강조했듯이, 앞으로의 과제는 ‘더 잘 찾는 법’이 아니라 ‘더 빨리 고치는 법’입니다. 공급망 보안은 보안팀만의 외로운 싸움으로 해결되지 않습니다. 개발, 운영, 품질 관리, 고객 대응 부서가 동일한 SBOM 데이터를 기반으로 협력하는 전사적 운영 체계로 자리 잡아야 합니다. 지금 필요한 것은 또 하나의 보안 경고(Alert)가 아니라, 그 경고를 실질적인 조치와 신뢰로 바꿀 수 있는 체계입니다.
래브라도랩스는 오픈소스 식별부터 실시간 SBOM 관리, 협력사 간 소프트웨어 가시성 확보까지, AI 시대의 기업이 갖춰야 할 새로운 공급망 보안의 기준을 제시합니다.
📌 안전한 SW 공급망 보안, 래브라도와 함께 지금 바로 시작하세요!
전화: 02-921-0419 (평일 09:00-18:00)
이메일: contact@labradorlabs.ai (1:1 데모 예약 및 견적 문의)
[참고 문헌 및 가이드라인]
- Anthropic, “Project Glasswing: Securing Critical Software for the AI Era,” Anthropic, 2026.04
https://www.anthropic.com/glasswing - Carlini, N.et al.,“Assessing Claude Mythos Preview’s Cybersecurity Capabilities,” Anthropic Frontier Red Team, 2026.04
https://red.anthropic.com/2026/mythos-preview/ - CISA, “Framing Software Component Transparency: Establishing a Common Software Bill of Materials (SBOM),” CISA, 2024.10
https://www.cisa.gov/sites/default/files/202410/SBOM%20Framing%20Software%20Component%20Transparency%202024.pdf - CISA, “Minimum Requirements for Vulnerability Exploitability eXchange (VEX),” CISA, 2023.04,
https://www.cisa.gov/sites/default/files/2023-09/Vulnerability%20Exploitability%20eXchange%20%28VEX%29_508c.pdf