AI가 주도하는 버그 바운티 급증, 그러나 '슬롭'의 위협도 커지고 있다

버그 바운티 산업은 현재 '풍요의 역설'에 직면해 있다. 생성형 AI 툴의 확산으로 인해 취약점 신고 건수는 역대 최고치를 경신하고 있으나, 동시에 가치가 낮은 '슬롭(slop)' 데이터가 급증하며 보안 팀을 위협하고 있다. 이러한 현상은 보안 전문가들이 유효한 위협을 식별하는 데 드는 비용과 시간을 비약적으로 증가시키고 있다.

버그 바운티 업계는 풍요의 역설에 직면해 있다. AI 툴이 제출량을 기록적인 수준으로 끌어올렸지만, 동시에 보안 팀을 저가치 소음으로 익사시키겠다고 위협하는 '슬롭'의 홍수를 촉발했다.

세계 최대의 버그 바운티 플랫폼 중 하나인 해커원(HackerOne)의 데이터에 따르면, 2025년 유효한 바운티 제출 건수는 85,000건에 달했다. 이는 전년도인 2024년의 79,439건에서 약 7% 증가한 수치다. 이러한 성장은 AI를 활용한 취약점 탐지 도구의 보급이 주요 원인으로 분석되며, 시장의 규모가 전례 없는 속도로 확장되고 있음을 보여준다.

AI 낙관론의 확산과 인식의 변화

버그크라우드(Bugcrowd)의 보고서는 해커들 사이에서 AI에 대한 인식이 얼마나 급격하게 변했는지 보여준다. 2023년에는 해킹에서 AI의 가치가 증가할 것이라고 믿는 해커가 21%에 불과했으나, 2024년에는 이 수치가 71%로 급등했다. 이는 보안 연구원들이 자신의 작업 흐름에 AI를 통합하는 속도가 매우 빠르다는 것을 시사한다.

• 증명되지 않은 SSL/TLS 암호화 관련 보고
• 실행 가능한 개념 증명(PoC)이 없는 HTTP 헤더 누락 신고
• 단순한 서버 오류 메시지 나열
• 스팸성 이메일 프로토콜 관련 공격 시도

보안 업계에서 '슬롭'은 AI가 생성한 저품질의 보안 보고서를 의미하며, 이는 신호 대 잡음비(signal-to-noise ratio)를 악화시키는 주범이다. 많은 AI 생성 보고서가 실제 작동하는 개념 증명(PoC) 없이 이론적인 취약점만을 나열하고 있어, 보안 팀은 이를 일일이 검토하고 걸러내는 데 막대한 자원을 소모하고 있다. 이는 결과적으로 유효한 취약점을 처리하는 속도를 늦추는 부작용을 낳는다.

하지만 AI의 속도가 인간의 창의성을 완전히 대체하지는 못하고 있다. 버그크라우드 조사에 따르면, AI가 인간 해커보다 뛰어난 성능을 발휘한다고 믿는 응답자는 22%에 그쳤으며, AI가 인간의 창의성을 복제할 수 있다고 믿는 비율도 30% 수준에 머물렀다. 이는 복잡하고 독창적인 취약점 탐지 영역에서 여전히 인간의 지능이 핵심적인 역할을 수행하고 있음을 의미한다.

임퍼바(Imperva)의 분석에 따르면, AI의 도입은 역설적으로 발견된 취약점당 더 많은 보안 엔지니어를 필요로 하게 만든다. AI가 생성한 결과물에 대한 재현(Reproduction)과 영향 평가(Impact assessment) 과정에서 인간의 개입이 필수적이기 때문이다. 기업들은 이제 AI 지원 레드팀 운영과 발견 사항 처리를 위한 전용 파이프라인 구축에 추가 예산을 배정해야 하는 상황이다.

이러한 도전에 대응하기 위해 플랫폼들은 AI를 이용해 AI가 만든 소음을 차단하는 '방어적 진화'를 꾀하고 있다. 마이크로소프트 연구진은 여러 LLM 에이전트를 활용해 사고 분류(Triage)를 자동화하는 '트라이앵글(Triangle)' 프레임워크를 제안하기도 했다. 이는 폭증하는 신고량을 관리하기 위해 분류 단계에서부터 고도화된 자동화 도구를 도입하려는 시도로 풀이된다.

결국 생성형 AI는 버그 바운티 생태계에 양적 팽창과 질적 저하라는 양날의 검을 가져왔다. 보안 전문가들은 AI가 생성한 정책이나 보고서를 무조건 신뢰하기보다, 생성과 집행 사이에 엄격한 검증 계층을 두는 새로운 신뢰 모델을 구축해야 한다고 강조한다. 인간의 창의성과 AI의 효율성이 조화를 이루는 지점을 찾는 것이 향후 보안 시장의 핵심 과제가 될 전망이다.