- 미토스 동일 코드 검증에서 추가 취약점 식별 결과 공개

 

티오리가 AI 기반 코드 분석 솔루션 진트 코드(Xint Code)를 적용해 상용 AI 모델만으로 제로데이 취약점 12건을 추가로 찾아냈다.

 

6~18개월 내 AI 공격 확산 시점 제시

티오리는 백서를 통해 향후 6~18개월 내 공격자가 고성능 AI를 활용해 취약점을 탐지하고 익스플로잇을 생성하는 단계에 진입한다고 분석했다. 앤트로픽(Anthropic)의 클로드 미토스(Claude Mythos) 사례를 기반으로 제한된 환경에서 수행된 코드 분석과 취약점 탐지 방식이 일반 환경으로 확산되는 과정을 근거로 제시했다. 오픈소스와 상용 AI 모델만으로도 대규모 코드베이스를 입력으로 받아 취약점을 찾고 공격 코드를 생성하는 단계에 들어섰다. 기업은 동일한 방식으로 코드를 분석해 취약점을 사전에 식별하고 즉시 대응 체계를 구축해야 한다.

 

상용 AI로 동일 코드 검증 및 추가 취약점 식별

티오리는 FreeBSD, OpenBSD, FFmpeg, Firecracker 코드베이스를 대상으로 진트 코드(Xint Code)를 적용해 성능을 검증했다. 앤트로픽이 공개한 주요 취약점 4건을 동일하게 재현했다. 이어 같은 코드에서 기존 모델이 찾지 못한 제로데이 취약점 12건을 추가로 식별했다. 클로드 오퍼스 4.6(Claude Opus 4.6), GPT-5.4 등 공개된 상용 모델만 활용해 분석을 수행했다. 특정 모델 접근 권한 없이 동일한 코드 검증과 추가 취약점 식별을 이어갔다.

 

코드 분석부터 패치 적용까지 자동 연결

진트 코드(Xint Code)는 대규모 소스코드를 입력으로 받아 취약점 후보를 추출한다. 이후 오탐 가능성을 낮추는 검증 단계를 거쳐 실제 취약점만 남긴다. 검증된 취약점은 수정 가능한 코드 형태로 변환해 개발 환경에 반영한다. 취약점 탐지 이후 검증과 수정 단계를 하나로 묶어 즉시 코드 수정으로 이어간다. 분석 결과를 리포트에 남기지 않고 개발 환경에 바로 반영한다.

 

수동 분석 대비 자동화 기반 대응 방식 제시

티오리는 기존 AI 기반 취약점 분석이 전문가 수동 개입에 의존하고 실제 패치 적용 비율이 낮다고 설명했다. 자동화된 분석과 검증, 수정 단계를 하나로 묶어 실제 코드 반영까지 이어가는 방식이 기업 환경에서 필요한 대응 기준이라고 밝혔다.

 

티오리 박세준 대표는 “AI 기술 발전으로 공격과 탐지 속도가 동시에 빨라지고 있으며, 선제적으로 취약점을 식별하고 대응하는 운영 방식이 필요하다”고 밝혔다.

 

#티오리 #진트코드 #XintCode #AI보안 #코드분석 #제로데이 #취약점탐지 #사이버보안