[현장] “AI가 취약점 찾는 시대, 단계적 접근·전문 지식에 성패 달려”

AI 요약

티오리 타일러 나이스완더 연구원은 8일 서울 코엑스 닷핵 컨퍼런스 2026에서 LLM을 활용한 취약점 자동 탐지 기술을 설명하며 CVE에 등록된 취약점이 지난해 4만 8,448개에 달하고 구글의 2024년 AI 에이전트 ‘빅 슬립’ 등 자동화 시도가 진행 중이라고 밝혔습니다. 다만 LLM은 컨텍스트 수용 한계(리눅스 커널 약 4억 2,000만 토큰에 비해 최신 프런티어 모델은 최대 200만 토큰 수준)와 멀티턴 과정에서의 성능 저하·환각 현상 때문에 소스 코드만으로 취약점을 자동으로 찾기 어렵다고 설명했습니다. 이에 나이스완더 연구원은 프롬프트·도구·가드레일을 결합한 ‘스캐폴딩’과 보안 전문가의 코드 분할·도구 선별·검증이 필요하며 오탐·미탐은 존재하지만 오탐은 유의미해지고 미탐율은 낮아지는 추세라 인간의 역할이 여전히 중요하다고 강조했습니다.