트렌드 · 3분 · 04.05

AI가 커널을 뚫는 데 8시간 — 바이브코더의 코드는 몇 분이면 될까

loopy vibecoder

핵심 요약 (TL;DR)

Claude AI가 FreeBSD 커널 원격 코드 실행 취약점(CVE-2026-4747)의 완전한 익스플로잇을 벽시계 기준 약 8시간 만에 작성했습니다. Calif 연구그룹의 MAD Bugs 이니셔티브에서는 500개 이상의 제로데이가 발견되고 있습니다. 바이브코더에게는 양날의 검입니다.

커널 레벨의 보안 취약점을 찾고, 익스플로잇을 작성하고, 루트 셸을 획득하는 데까지. 인간 보안 연구원이라면 몇 주, 길면 몇 달이 걸리는 작업입니다.

Claude AI는 이걸 하루 안에 해냈습니다.

무슨 일이 있었나요?

Calif 연구그룹이 주도하는 "MAD Bugs(Month of AI-Discovered Bugs)" 이니셔티브에서, Claude Opus 4.6이 FreeBSD 커널의 원격 코드 실행 취약점을 대상으로 익스플로잇 개발에 투입되었습니다.

결과는 이랬습니다. 오전 9시 45분에 시작해서 오후 5시에 완료. 벽시계 기준 약 8시간, AI의 실제 작업시간은 약 4시간이었습니다. 15라운드의 전략적 접근으로 432바이트 쉘코드를 14개 패킷으로 분할 전송하는 익스플로잇 두 개를 서로 다른 전략으로 작성했고, 둘 다 첫 시도에 성공했습니다.

CVE-2026-4747로 공식 등재되었고, FreeBSD 어드바이저리에는 "Nicholas Carlini using Claude, Anthropic"이 크레딧으로 올라갔습니다.

500개의 제로데이, 그 맥락

Calif 연구그룹에 따르면, MAD Bugs 이니셔티브를 통해 FreeBSD, Vim(CVE-2026-34714, CVSS 9.2), Firefox(CVE-2026-2796), Emacs 등 주요 오픈소스 프로젝트에서 500개 이상의 취약점이 발견되고 있습니다.

다만 맥락을 짚어야 합니다. 이번 FreeBSD 익스플로잇은 AI가 CVE 보고서를 기반으로 익스플로잇을 작성한 것이지, 버그를 처음부터 스스로 발견한 건 아닙니다. 또한 해당 취약점은 인터넷에 직접 노출된 NFS 서버라는 비교적 희귀한 구성에서만 작동합니다. 500개 전체의 심각도 분포도 아직 공개되지 않았고, 이니셔티브가 4월 말까지 진행 중이므로 최종 수치는 변동될 수 있습니다.

그래도 방향은 분명합니다. AI가 보안 연구의 속도와 비용 구조를 근본적으로 바꾸고 있다는 것.

바이브코더에게 이게 왜 중요한가요?

여기서 시선을 돌려봐야 합니다. AI가 FreeBSD 커널을 뚫는 데 8시간이 걸렸다면, 주말에 바이브코딩으로 만든 웹앱의 인증 로직을 뚫는 데는 얼마나 걸릴까요?

바이브코딩으로 빠르게 만든 코드는 구조적으로 보안에 취약한 경우가 많습니다. AI가 생성한 코드의 보안 로직을 개발자가 완전히 검토하지 않은 채 배포하는 경우가 대부분이니까요.

방어 측면에서도 같은 AI를 활용할 수 있습니다. Claude에게 "이 코드의 보안 취약점을 찾아줘"라고 요청하는 것만으로도 기본적인 보안 점검이 가능합니다. 하지만 공격자도 같은 도구를 쓴다는 사실을 잊으면 안 됩니다.

지금 바로 할 수 있는 세 가지

  1. 인증과 권한 로직 재점검: AI가 만든 인증 코드를 다시 한번 AI에게 보안 관점으로 검토시키세요
  2. 환경변수와 API 키 노출 확인: .env 파일이 .gitignore에 있는지, 클라이언트 사이드에 시크릿이 노출되진 않았는지
  3. Supabase RLS, 데이터베이스 접근 제어 점검: 바이브코딩에서 가장 흔한 보안 사고 유형입니다

AI가 해커의 도구가 된 세상에서, 바이브코더의 최소한의 방어막은 같은 AI를 방어에 쓰는 것입니다.

FAQ

Q: AI가 직접 취약점을 발견한 건가요, 아니면 알려진 취약점을 익스플로잇한 건가요?

이번 FreeBSD 사례에서는 이미 보고된 CVE를 기반으로 익스플로잇을 작성한 것입니다. 다만 MAD Bugs 이니셔티브에서는 AI가 소스코드를 직접 분석해 새로운 취약점을 발견하는 작업도 병행하고 있습니다.

Q: 바이브코딩으로 만든 앱의 보안 수준을 높이려면 어떻게 해야 하나요?

코드 생성 후 같은 AI에게 보안 리뷰를 요청하는 습관이 가장 효과적입니다. "이 코드에서 OWASP Top 10 취약점이 있는지 확인해줘"라는 프롬프트 하나로 기본적인 점검이 가능합니다.

관련 글 더 보기
- AI가 인증을 거꾸로 짰다 — 18,697명의 데이터가 노출된 바이브코딩 보안 사고
- 해킹당해도 인수된다 — Moltbook이 증명한 바이브코딩의 역설

0

댓글 0

로그인하고 댓글 달기

아직 댓글이 없습니다