크라우드스트라이크, AI발 ‘새 취약점’ 대응 연합 ‘프로젝트 퀼트웍스’ 출범

크라우드스트라이크 홀딩스($CRWD)가 첨단 인공지능이 드러내는 새로운 소프트웨어 취약점에 대응하기 위한 산업 연합 ‘프로젝트 퀼트웍스(Project QuiltWorks)’를 출범했다. 기존 보안 스캐너나 사람 중심 코드 검토로 놓치던 위험을 더 빨리 찾아내고, 실제 수정까지 연결하겠다는 구상이다.

이번 연합에는 크라우드스트라이크를 비롯해 액센추어, EY, IBM 보안 서비스, 크롤, 오픈AI가 참여했다. 첨단 AI 모델 지원은 오픈AI와 앤트로픽이 맡는다. 회사 측은 프런티어 AI 모델이 논리 버그, 설계 결함, 설정 오류, 새로운 공격 경로까지 발견하면서 방어 기업이 취약점 발견 이후 공격까지 대응할 수 있는 시간이 빠르게 줄고 있다고 설명했다.

조지 커츠(George Kurtz) 크라우드스트라이크 최고경영자(CEO)는 “프런티어 AI가 취약점 발견 속도를 끌어올리면서, 전 세계 이사회가 최고정보보호책임자에게 같은 질문을 던지고 있다”며 “우리 조직이 노출돼 있는지, 그리고 제대로 보호받고 있는지가 핵심”이라고 말했다. 이어 프로젝트 퀼트웍스는 이런 질문에 업계가 함께 답하는 방식이라고 강조했다.

기존 CVSS 점수보다 ‘실제 공격 가능성’에 초점

프로젝트 퀼트웍스는 크라우드스트라이크의 팔콘 플랫폼을 기반으로 운영된다. 이 플랫폼은 하루 수조 건의 보안 이벤트를 처리하며, 1만 명이 넘는 인증 전문인력 네트워크와 연결해 코드 수준의 수정 작업까지 지원한다. 핵심은 기존의 CVSS, 즉 ‘공통 취약점 점수 체계’ 중심 우선순위에서 벗어나 공격자 인텔리전스와 공격 경로 분석을 통해 실제로 악용 가능한 취약점을 먼저 가려내는 데 있다.

이는 단순히 취약점 숫자를 줄이는 접근과 다르다. AI가 찾아내는 취약점이 급증하는 상황에서는 모든 경고를 동일하게 다루기 어렵기 때문이다. 실제 공격자가 접근할 수 있는 경로와 악용 난이도를 함께 따져 대응 순서를 정해야 한다는 의미다.

액센추어 사이버보안 부문 글로벌 책임자 하프리트 시두는 이번 연합이 코드 수준 문제를 해결할 ‘운영 역량’을 제공하고, 고객사가 전사적 보호 체계를 구축하도록 도울 것이라고 밝혔다. EY의 데이비드 쿠퍼도 상당수 기업이 프런티어 AI가 만들어내는 새로운 취약점 유형을 아직 관리할 준비가 돼 있지 않다고 진단했다.

12개월 구독형 서비스도 함께 출시

크라우드스트라이크는 연합 출범과 함께 ‘프런티어 AI 준비 및 복원력 서비스’도 공개했다. 이 서비스는 12개월 단위로 갱신 가능한 구독형 상품으로, 팔콘 플렉스 크레딧을 통해 구매할 수 있다.

새 서비스에는 현재 보안 프로그램 진단, 프런티어 AI 기반 애플리케이션 및 코드베이스 스캔, CVSS를 넘어선 레드팀 우선순위 분석, 가이드형 취약점 수정, 이사회 보고 수준의 결과 브리핑이 포함된다. 단발성 점검이 아니라 지속적인 전문가 주도 대응이라는 점이 특징이다.

IBM 컨설팅의 마크 휴즈는 이번 협력이 IBM의 ‘자율 보안’ 접근법을 확장해 새로운 위험군을 ‘기계 속도’로 관리하게 해준다고 평가했다. 오픈AI 최고정보보호책임자 데인 스터키도 자사의 ‘Trusted Access for Cyber’ 프로그램을 통해 생태계 전반의 취약점 발견과 수정 속도를 높이는 데 힘을 보태겠다고 밝혔다.

AI 확산 속 보안 시장도 ‘탐지에서 수정’으로 이동

이번 발표는 AI가 사이버보안의 방어 수단을 넘어 새로운 위험 촉진 변수로도 작동하고 있음을 보여준다. 지금까지 기업 보안의 초점이 ‘무엇이 취약한가’를 찾는 데 있었다면, 앞으로는 ‘어떤 취약점이 실제 공격으로 이어질 수 있는가’와 ‘얼마나 빨리 고칠 수 있는가’가 더 중요해질 가능성이 크다.

프로젝트 퀼트웍스와 AI 취약점 평가 서비스는 즉시 이용할 수 있다. 시장에서는 이번 연합이 AI 시대 보안 대응의 새로운 기준이 될지 주목하고 있다. 특히 AI가 취약점을 더 빨리 찾아내는 만큼, 기업 보안 경쟁력도 탐지 능력보다 ‘수정 실행력’에서 갈릴 가능성이 커지고 있다.