해커는 곧 사라지게 됩니다.
댓글 28 · 추천 10 · 조회 1195

화이트햇과 블랙햇을 가리지 않고 해커라는 직업은 곧 소멸하게 될 겁니다. 그와 동시에 소프트웨어, IT 인프라의 보안 취약점이 대부분 제거된 꿈의 세상이 열립니다. 이유는 물론 AI 때문입니다.

최근 LLM의 지속적인 발전으로 인해 해킹의 진입장벽과 비용이 감소하면서 AI를 이용한 침해사고가 늘어날 것이라는 우려가 있고, 실제로 그런 활동이 이루어지고 있습니다. 하지만 결국 몇 년이 지나면 이러한 활동조차 수그러들면서 악용하는 측의 해커, 막는 측의 해커 모두 사라지게 될 겁니다. 그 근거를 간략하게 설명해 보겠습니다.

전통적으로 사이버 보안을 창과 방패의 대결이라고 보는 시선이 있습니다. 보안 전문가는 끊임없이 취약점을 찾아내서 패치하고, 보안을 강화시키는 기술을 만들어냅니다. 하지만 그에 맞서 공격자도 계속 시스템을 뚫기 위한 취약점을 찾고, 보안을 무력화시키는 기술을 발전시켜 나가면서 균형을 이룬다는 논지입니다. 그러나 이는 후술할 AI를 배제하더라도 현실과 맞지 않습니다.

실제로 바이너리 익스플로잇 분야에서는 ASLR, NX, Stack Canary, ARM MTE 등의 완화 기법이 등장했지만 이에 대한 우회 방법 또한 연구되었고, CTF에서는 당연하다는 듯이 완화 기법을 우회해야 하는 문제가 출제되고 있습니다.

그러나 완화 기법을 뚫어내는 기술들은 결코 공격과 방어가 균형을 이루게 하지 않습니다. 직관적으로 생각해 봤을 때 공격자는 이러한 기법들을 우회하기 위해 더 많은 학습 비용, 인지 자원을 투입해야 하지만 방어자(개발자) 입장에서는 그냥 최신 커널, 컴파일러, 하드웨어를 사용하는 것으로 충분합니다. 완화 기법이 존재하는지조차 모를 겁니다.

즉, 보안 기술은 방어측을 더 유리하게 만듭니다. 비용을 들여 뚫어낼 수 있다고 하더라도 균형이 맞춰지는 것은 아닙니다. Rust, Android의 강화된 파일 권한 모델, SELinux, IOMMU 같은 하드웨어 보안 기술, 샌드박스는 방어자만 더 유리하게 만들었고, 공격자의 공격 비용은 증가시켰습니다.

물론 이러한 보안 기술도 방어측의 완전한 승리를 가져다주지는 않습니다. 어쨌든 비용을 들이면 뚫을 수 있을 뿐더러, 대부분의 침해 사고가 제로데이나 복잡한 취약점 보다는 인적 요인, 시스템/설정 오류 등으로 발생한다는 것은 널리 알려진 사실입니다.

그러나 AI가 등장하면 이 균형은 완전히 깨집니다.

AI는 머지 않은 미래에 최고의 인간 사이버 보안 전문가를 뛰어넘을 것입니다. 불과 3년 전만 해도 LLM이 CTF 문제를 풀어낸다는 것은 믿기 어려운 일이었지만, 현재 최첨단 모델은 고난이도 리버싱 문제를 자율적으로 해결하고, 자동으로 보안 점검, 버그 바운티도 합니다. 이제 CTF에서 LLM을 사용하는 것은 선택이 아닌 필수가 되었습니다. 있으면 편리한 수준이 아닌, 없으면 다른 팀들과 경쟁이 성립하지 않는 수준입니다. 능력도 능력이지만 AI에이전트는 인간보다 훨씬 빠르게 문제를 풀어내기 때문에 효율성 측면에서 비교가 안 됩니다.

곧 AI가 인간 개발자, 사이버 보안 전문가를 저렴한 비용으로 대체하고, 이로 인해 전반적인 컴퓨터 시스템과 IT 인프라의 보안 수준이 비약적으로 향상되면서 대부분의 해커는 더 이상 필요가 없는 존재가 될 것입니다.

하지만 이 지점에서 반론으로 등장할 만한 역설이 있습니다:

방어에 AI가 쓰이면, 공격에도 AI가 쓰인다.

결론부터 말하자면 이 역설은 환상에 가깝습니다. 방어에 쓰이는 AI가 더 강력하게 막아내는 만큼, 공격에 쓰이는 AI도 더 강력하게 뚫어내서 공격/방어의 지속적인 군비 경쟁이 유지될 것이라는 정신 모델은 정확하지 않습니다. 실제로는 방어 AI가 압도적 우위에 있게 됩니다.

이 주장을 이해하기 위해서는 한 가지 사실을 인식해야 합니다.

  • 어떤 시스템이든 보안 취약점은 유한하다.

다시 말해, 소프트웨어, 소스 코드, 인프라 등을 가리지 않고 컴퓨터 시스템에서 보안 취약점의 개수는 한정되어 있습니다. 모든 보안 취약점을 제거하는 것이 가능하다는 의미입니다. 계속 찾는다고 마법 상자처럼 계속 취약점이 나올 수는 없습니다. 공격은 "미지의 취약점 발견" 이라는 불확실성에 의존하지만, 방어는 "모든 취약점 제거"라는 종료 조건이 존재합니다.

다만 인간의 인지능력 한계, 비용, 한정된 보안 전문가의 수, 지속적인 기능 업데이트 같은 요인에 의해 모든 보안 취약점의 제거가 현실적으로 이루어지고 있지 않았을 뿐입니다.

AI는 압도적인 지능과 생산성으로 보안 취약점의 대부분 제거라는 목표를 달성할 것이며 Chrome, Linux 같은 소프트웨어는 사실상 공격 AI가 뚫으려고 노력해도 거의 뚫기 어려운 수준으로 보안이 향상될 것입니다.

IT 인프라도 마찬가지입니다. AI는 저비용으로 다양한 조직에 완벽에 가까운 보안 관리를 제공할 것이고, 그뿐만 아니라 실수를 하고 Shadow IT를 만드는 인간 개발자나 직원 자체를 대체하여 공격 표면은 현저히 줄어들 것입니다.

심지어 그런 AI 시스템을 개발할 보안 회사의 필요성 조차 사라집니다. AI 자체의 성능이 향상될 수록, AI를 제어하는 프레임워크의 필요성도 감소합니다. 현재는 LLM을 직접 오케스트레이션하고, 상태를 관리하고, 대시보드를 띄우는 코드를 작성해서 제품을 만들고 있지만, 미래에는 그냥 AI 기업에서 바로 제공하는 날것의 범용 에이전트가 그런 것 없이도 대부분의 일을 해낼 수 있게 될 겁니다. 즉, 하네스(Harness) 엔지니어링의 필요성 자체가 없어집니다.

기업에서는 그냥 범용 에이전트를 사서 도입하면 개발도, 보안도 알아서 되는 세상이 올 것입니다. 더 이상 직원이 이상한 이메일을 누르거나, 약한 비밀번호를 설정하거나, 키를 털리는 불상사 또한 일어나지 않게 되겠죠.

시큐어 코딩, 테스트, 코드 오디팅, Key 관리, 직원 및 퇴사자 관리, 권한 관리, 제로 트러스트 도입, 공격 표면 관리, 인증서 관리, 이메일 관리, 보안관제를 가리지 않고 AI는 근면성실하게 24시간 연중무휴로 작동할 것입니다.

앞으로 빠르게 일어나게 될 일은 CTF의 종말이라고 생각합니다. CTF의 가장 큰 목적은 보안 실력 향상인데, 점점 '실력' 이라는 것이 인간의 역량에서 AI의 성능으로 이동하고 있다는 조짐이 보입니다.

이미 상당히 공을 들인 일부 대회를 제외하면 CTFTime에 올라오는 많은 대회들은 상당수의 문제가 LLM 혹은 Codex 같은 에이전트로 풀리는 상황입니다.

아마 올해(2026), 혹은 내년(2027)에 출시되는 모델은 CTF 수준 난이도의 모든 챌린지를 포화시킬 가능성이 높습니다. AI를 사용해도 못 풀 만큼 난이도를 올리면 되지 않냐고 할 수 있지만, 그렇게 되면 인간도 24시간이나 48시간 안에 풀기는 어려운 문제가 될 것입니다.

조만간 시작 몇십분 만에 모든 문제가 풀리고, 잘하는 팀이 아닌 API 응답시간이 우연히 더 빨라서 앞서나간 팀이 상위권을 차지하는 현상이 발생할 수도 있습니다. 혹은 LLM의 Context Window 크기로 불충분한 큰 문제를 만들고 인간이 그런 문제를 풀 수 있게 하기 위해 대회 시간이 길어지는 일이 발생할 수도 있습니다.

결국 CTF 주최자들은 온라인 CTF에서 AI 사용을 막는 것이 불가능하기도 하고, 더 이상 CTF의 의미 또한 없어졌기 때문에 대회 개최를 점점 줄이다가, 어느샌가 전통적인 Jeopardy 방식의 CTF는 옛날 문화가 되어 있을 것입니다.

다음으로 일어날 일은 오픈소스가 더 안전해지는 것입니다. 구글은 이미 오픈소스에 AI 보안 스캐너를 돌리고 있고, 이것 때문에 FFmpeg 측으로 부터 한 소리 듣기도 했습니다.

모델이 더 강력해지고 저렴해지면서, 많은 자본을 가지고 오픈소스 보안에 관심을 가진 조직들은 수많은 저명한 오픈소스 프로젝트를 대상으로 AI 보안 스캐너를 돌리게 될 것입니다. 각 오픈소스 프로젝트의 관리 주체 또한 마찬가지입니다. 물론 그 속도는 새로운 커밋이 올라오는 속도를 압도할 것이고, CVE는 폭발적으로 발견되다가 서서히 고갈에 가까워질 것입니다.

결론적으로 전통적인 의미의 '해커'라는 직업은 몇 년(대략 5~10년?) 안에 최소한의 관리 인력 정도만 남기고 급격하게 축소되고, 극소수를 제외하면 살아남기 어려워질 것입니다. 우리가 사용하는 운영체제와 애플리케이션은 완벽에 가까울 정도로 안전해지고, 작은 기업부터 대기업까지 전반적인 조직의 정보보안도 철통방어 수준이 될 것입니다. 다만 엔드 유저에 대한 빅테크 기업의 개인정보 수집(Google Play Service 등)이 사라질지 더 강화될지는 알 수 없습니다.

2026.01.22. 02:54
작성자 정보
댓글 28
익명 (1.228)
익명 (1.228)
12일 전
그럼 앞으로 어떤 분야가 살아남을 거라고 보시나요? 보안 시장은 사실상 사장될 것으로 보시나요? 저도 최근에 해킹에 입문한 뉴비로서 본문과 같은 생각을 계속 해왔어서요. 앞으로는 AI가 진단해주는 솔루션을 알아들을 수 있을 정도로만 공부하고, 차라리 그런 AI 제품 개발을 알아보는 게 더 나을지.. AI 공부라는 건 또 뭔지.. 머리가 복잡하네요
익명 (125.184)
익명 (125.184)
12일 전
많은 생각이 드는 글입니다.
익명 (58.225)
익명 (58.225)
11일 전
어랏.. 내 최강미소녀해커라는 꿈이 사라진다고!!??!?
익명 (220.85)
익명 (220.85)
11일 전
'취약점은 유한하다' 라는 전제가 잘 이해가 되지 않네요. 소프트웨어는 계속 변하는 동적 시스템이라 생각하는데, 취약점은 고갈되는 것이 아니라 AI의 패치를 따라 다른 형태로 재생성되지 않을까요?
익명 (115.140)
익명 (115.140)
11일 전
내가 ai보다 뛰어나면 그만
익명 (183.99)
익명 (183.99)
8일 전
취업하기 전에는 저도 이렇게 될 것이라고 생각했는데 막상 실무를 경험해보니 개발자든 보안 전문가든 30년이 넘게 지나도 일자리가 사라지는 일은 없겠다 싶네요. 실무에서 사용하는 페이로드는 환경에 따라 지속적으로 수정이 필요하기 때문에, 이를 인공지능으로 완전히 대체하려면 상당한 시간이 필요하다고 생각합니다. 실제로 모의해킹을 진행해보면 아직도 수십 년 전에 작성된 코드를 그대로 사용하는 회사들이 매우 많습니다. 현실적으로 모든 코드를 AI에 입력해 분석하고 진단할 회사는 거의 없으며, 대부분의 기업은 기존 버전을 최대한 유지한 채 그 환경에 맞는 최소한의 보안 대책만을 원합니다. 이처럼 환경 의존적이고 세세한 부분까지 인공지능이 모두 대응하기에는 아직 이르다고 봅니다. 지금도 회사 상대로 자체적으로 구축한 모의해킹 AI 툴로 취약점 진단 해주는 곳이 좀 있는데 툴 사용하는 비용이 만만치 않습니다. 인력을 쓰는 게 훨씬 나을 정도로 생각보다 엄청 많은 비용이 들어갑니다. 그 돈을 주고 돌려 봐도 오탐이 정말 많고 취약점도 잘 못 찾고 보안 대책도 의미 없는 것만 적어줍니다. 물론 시간이 많이 지나면 나아지겠지만 그렇게 AI가 사람을 대체할 시점이면 보안 업계만 축소되고 있지는 않을 거 같습니다. 말씀하신 대로 취약점이 없는 세상이 오려면 지금 있는 코드를 다 폐기하고 새로 코드를 짜야 되는데 그걸 책임지고 할 사람은 존재하지 않고 고객이나 회사 그 어느 누구도 그걸 원하지 않습니다. 그리고 CTF 대회의 경우는 Write-up 제출만으로도 충분히 본인 능력인지 아닌지 확인이 가능하다고 봅니다. 개인적으로 AI를 잘 쓰는 것도 능력이라고 생각은 합니다. 하지만 AI만 돌리고 공부를 하지 않으면 CTF 상금은 운 좋게 몇 번은 받을 수는 있겠지만 취직하지는 못할 겁니다. 이상과 현실은 다릅니다.
익명 (1.237)
익명 (1.237)
7일 전
이분 진짜 글 잘쓰시네 지성이 잔뜩 느껴짐...
익명 (125.130)
익명 (125.130)
6일 전
유튜브에서 지평설 주장하는 댓글들 보면 이 글이랑 비슷한 느낌 들던데 신기하다..
익명 (180.231)
익명 (180.231)
5일 전
글에서 제시하는 수준까지 ai가 발전하게 된다면 여러 분야의 기술적 발전도 함께 이루어질 것 같습니다. 이로 인해 소수의 관리자를 제외한 노동자의 필요성이 낮아져 인간이 노동을 하지 않아도 되는 시대가 오게 될까요? 최근 진로를 취약점 분석 분야로 잡고 공부를 시작했는데 일자리 고갈에 대한 불안감이 느껴져 질문드립니다.
worldwide
worldwide
1일 전
고견 감사합니다. 모두가 막연하게 느끼는 불안감에 대해 잘 구체화해주신 좋은 의견이네요. 저 또한 말씀대로 5~10년 후는 정보보안 분야 필요인력의 급격한 축소화가 진행될 거라 봅니다만 당장은 변화가 미미할 거라고 생각을 합니다. 기업 보안담당자들의 경우 기존 국내 기업들의 보안의식으로 인해 원래부터 수를 많이 뽑지 않았습니다. 또한 수행하는 업무도 (요즈음은 AI가 추가되는)솔루션 운영과 임직원들의 애로사항 해결과 같은 운영/엔지니어적 역할과 해당 기업의 제품이나 전사적인 차원에서의 보안인증과 같은 RA(법률보증) 역할을 동시에 수행하고 있었으니 크게 수의 변화는 없을 겁니다. 이미 소수의 인력으로 다중적인 역할을 요구하는 경향이 컸으니까요 공격/방어에 대한 깊은 이해를 요구하는 실무능력을 가진 레드티밍, 취약점 점검도 마찬가지입니다. AI가 산출해준 답을 검증할 능력이 되어야 하고 그 이상으로 취약점을 찾아 TTPs 와 매핑을 할 수 있는 능력이 되어야 하고, 한편으로 기술적인 취약점 이외에 고객사(정확히는 임원급의 보안인식에 맞춘)의 상황에 맞게 보안관리 범위를 조절해서 권고하고 설명하는 등의 능력이 요구되기 때문입니다. 솔직하게는 국내에서 요즈음 들어 필요성이 요구되고 있어 직무가 크지 않았고 AI의 등장으로 인해 더 크지도 않겠지만 적어지지도 않을 겁니다 솔루션 엔지니어(영업을 어느정도 겸한 직무면)도 비슷하겠지요. 단순 개발 위주면은 개발산업과 같이 채용 수가 타격을 받겠으나 애매한 상황을 해결하기 위한 유지보수 & 영업적인 측면이 강하면은 크게 변화는 없을 거예요. 보안관제도 원래부터 자동화솔루션을 사용하는 추세여서 소수의 인력으로 AI 기반 모니터링과 탐지, 티켓관리를 수행하는 중이었으니 뭐.. 달라질 게 있을까 싶어요 그렇다면 당장에 정보보안 분야에서 타격을 받을 직무는 무엇이냐, 보안 관련 솔루션 개발자와 체크리스트 기반으로 업무를 수행하는 컨설팅 직무가 영향을 받을 겁니다. 신입 채용보다는 기존의 인력이 AI를 활용하여 개발하거나 점검을 빠르게 수행하는 편으로 초점이 맞춰지지 않을까 싶어요. 그러한 추세가 이미 24~25년도의 보안 취업시장에 영향을 미치고 있음을 실무자들과 예비 취준자들이 체감하고 있는 상황이지요 하지만 그러한 모든 걸 감안해도, 근 몇년 동안은 국내의 보안시장의 규모&증가하는 해킹 사고들로 인한 정부 측에서의 보안규제 강화, 보안성 증진 권장에 힘입어 보안시장이 전반적으로 + - =0 나 개발대비 상대적으로 미미한 축소율을 보이지 않을까 싶어요. 개발 쪽 취준자들이 대거 보안 쪽으로 전향해 경쟁수가 늘지 않는 이상은 원래도 허리에 해당하는 인력이 빠져나갔던, 어느정도의 보안인력을 필요시했던 상황이니요
자유게시판 다른 글
전체 보기
글 제목
작성자
추천
조회
작성일
이제 막 해킹 분야에 관심이 생겼는데 공부를 어떻게 시작해야할지 막막해서 질문드립니다 [2]
으어엉
0 265 10일 전
웹 해킹 뉴비의 궁금증 [2]
Dear
1 248 12일 전
해커는 곧 사라지게 됩니다. [28]
liberty_rapid
10 1195 12일 전
특이점이 온다앗...!!! [1]
익명 (211.58)
2 311 13일 전
계정 자기소개 바꾸는법 [1]
avatar
infonize
0 151 14일 전