최근 'bikini'라는 익명의 보안 연구원이 깃허브(GitHub)에 'exploitarium'이라는 저장소를 개설하고, 7zip, AnyDesk, Docker, Firefox, Nginx, Node.js 등 널리 사용되는 소프트웨어에서 발견된 20개 이상의 미공개 제로데이(0-day) 취약점 개념 증명(PoC) 코드를 대량으로 공개했습니다. 일반적으로 제로데이 취약점은 발견 후 일정 기간 비공개로 유지되며 제조사에 통보되어 패치가 이루어진 후 공개되는데, 이번처럼 사전 조율 없이 대량으로 공개되는 것은 이례적인 일입니다. 이로 인해 해당 소프트웨어 사용자들은 심각한 보안 위협에 노출될 수 있다는 우려가 커지고 있습니다.
공개된 취약점 목록에는 '7zip-rar5-motw-chain-poc', 'anydesk-printer-com-impersonation-poc', 'docker-cp-copyout-destination-escape', 'firefox-smartwindow-private-url-exfil-poc', 'ffmpeg-rasc-dlta-calc-poc', 'ghidra-12.1.2-rce-ace-calc-poc' 등 다양한 소프트웨어의 원격 코드 실행(RCE), 권한 상승(LPE), 정보 유출(Exfil) 등의 취약점들이 포함되어 있습니다. 특히 이 연구원은 README 파일을 통해 자신의 퍼징(fuzzing) 워크플로우 대부분을 AI, 그중에서도 GPT-5.3을 활용해 자동화했다고 밝혔습니다. 그는 수년간 퍼징 방법론을 연구했으며, 효율적인 워크플로우와 인간의 감독이 있다면 최신 AI 모델이 아니더라도 충분히 취약점을 식별할 수 있다고 강조했습니다. 다만, 실제 PoC 코드는 직접 작성했으며, RustDesk의 경우 언어에 익숙지 않아 AI의 도움을 받았다고 덧붙였습니다.
이번 제로데이 대량 공개는 여러 면에서 중요한 의미를 가집니다. 첫째, AI가 보안 취약점 발견 과정에 얼마나 효과적으로 활용될 수 있는지를 보여주는 사례입니다. AI 퍼징의 효율성이 입증됨에 따라, 앞으로 더 많은 취약점이 빠르게 발견될 가능성이 있으며, 이는 보안 패치 주기를 단축시키거나 기업들이 보안 투자를 늘리도록 압박할 수 있습니다. 둘째, 사전 조율 없는 제로데이 공개는 공격자들에게 악용될 기회를 제공하여 전 세계적으로 사이버 보안 위협을 증대시킬 수 있습니다. 사용자들은 해당 소프트웨어의 최신 보안 업데이트를 주시하고, 가능한 한 빨리 패치를 적용하는 것이 중요합니다. 셋째, 이러한 대량 공개는 보안 연구 커뮤니티 내에서 '책임 있는 공개(responsible disclosure)' 원칙에 대한 논쟁을 다시 불러일으킬 것으로 보입니다. 취약점 공개의 윤리적 기준과 시기에 대한 심도 깊은 논의가 필요할 시점입니다.