멀티 솔루션 크라우드소싱 사이버 보안 플랫폼 버그크라우드(Bugcrowd)는 연례 보고서인 ‘해커의 속마음(Inside the Mind of a Hacker)’ 보고서를 발표했다. 보고서에 따르면 해커의 72%가 보안 연구와 취약성 관리에서 인공지능(AI)이 인간의 창의성을 대체하지 못할 것이라고 믿고 있다.

이 보고서는 전 세계 85개국의 해커 1000명을 대상으로 한 설문 조사를 토대로하며 AI가 보안에 미치는 영향, 전문 해커의 모습 엿보기, 해킹 현황 등 다양한 주제를 다루고 있다.

AI의 영향과 생성AI 해킹의 부상

생성AI는 2023년 보고서의 주요 주제였는데, 응답자의 절반 이상(55%)이 이미 해커를 능가할 수 있거나 향후 5년 내에 그렇게 할 수 있을 것이라고 답했다. 하지만 응답자 4명 중 3명(72%) 가까이가 생성AI가 해커의 창의성을 복제할 수 없을 것이라고 답하면서 크게 걱정하지 않았다.

생성AI가 어떻게 활용되고 있느냐는 질문에 해커들이 언급한 상위 기능은 작업 자동화(50%), 데이터 분석(48%), 취약성 파악(36%), 결과 검증(35%), 정찰 수행(33%)이었다. 응답자 3명 중 거의 2명(64%)은 생성AI 기술이 윤리적 해킹과 보안 연구의 가치를 높였다고 생각했다.

해커들의 AI 사용 증가는 2022년 미 국방부의 지침과 바이든 대통령의 사이버 보안 행정명령 EO 14028의 지침에 부합한다. 바이든 대통령은 "사이버 보안 애플리케이션에서 AI를 활용하는 것의 가치가 점점 더 명확해지고 있다. 이 방법은 수십억 개의 데이터 포인트에 걸쳐 패턴을 신속하게 분석하고 상관 관계를 분석하여 다양한 사이버 위협을 몇 초 안에 추적할 수 있다는 큰 가능성을 보여준다."고 했다.

해커의 고정관념에 도전하고 확인하기

대부분의 해커는 18~24세의 Z세대(57%) 또는 25~34세의 밀레니얼 세대(28%)였다. 그럼에도 불구하고 10대 해커에 대한 고정관념은 X세대 스피커에서 5%가 18세 미만이고 2%만이 45세 이상인 것으로 확인되었다. 또한 보고서에 따르면 응답자의 96%가 남성이고 4%만이 여성이며, 0.2%는 비이진 또는 젠더퀴어로 식별되는 등 해커는 남성이 대다수를 차지했다.

대부분의 해커(82%)는 풀타임으로 해킹하지 않고 아르바이트, 부업 또는 정규직으로 전환하는 과정에 있다. 오직 29%만이 해킹을 그들의 전업으로 묘사했다. 윤리적 해킹의 동기는 다양했지만, 가장 큰 동기는 개인 개발(28%), 금전적 이득(24%), 흥분(14%), 도전(12%) 등이었다. 응답자의 6%는 더 큰 이익을 위해 해킹을 한다고 답했고, 87%는 취약점을 보고하는 것이 돈을 버는 것보다 더 중요하다고 답했다.

응답자의 절반 이상이 대학을 졸업했고(54%), 14%가 대학원을 졸업했지만, 24%만이 학술 또는 전문 과정을 통해 해킹을 배웠다. 해커의 대다수(71%)는 독학이었고, 대부분 온라인 리소스를 통해 해킹을 배웠다(84%). 다른 사람들은 시행착오(40%) 또는 친구와 멘토(34%)를 통해 배웠다.

해킹 및 취약점 관리 현황

얼마나 많은 기업이 침해의 실제 위험을 이해하고 있는지에 대해 다양한 견해를 보였다. 응답자의 27%는 10% 미만의 기업만이 실제로 위험을 이해하고 있다고 답했다. 응답자의 또 다른 3분의 1(33%)은 10~25%의 기업이 자신의 위험을 이해한다고 답했지만, 절반 이상의 기업만이 침해당할 위험을 이해하고 있다고 답했다.

응답자의 84%는 COVID-19 대유행이 시작된 이후 더 많은 취약점이 있다고 말했고 88%는 특정 시점 보안 테스트가 기업을 안전하게 유지하기에 충분하지 않다고 말했다. 그럼에도 불구하고 응답자의 78%는 대부분의 기업의 공격 표면이 타협하기 어려워지고 있다고 답했으며, 89%는 회사가 점점 더 윤리적인 해커를 호의적으로 바라보고 있다고 말했다.

응답자의 거의 3분의 2(63%)가 지난 12개월 동안 이전에는 경험하지 못했던 새로운 취약성을 발견했다고 보고했다. 또한 응답자의 절반 이상(54%)이 기업이 법적 결과를 감수하지 않고 보고할 수 있는 명확한 경로가 부족하기 때문에 취약점을 공개하지 않았다고 답했다.

응답자의 42%가 보안 의사 결정자 및 브랜드와 장기적인 관계를 구축하는 것이 버그크라우드를 해킹할 때 가장 중요한 목표 중 하나라고 말했다. 이는 경력 개발에 해킹이 점점 더 많이 활용되고 있음을 시사한다. 또한 응답자의 절반 이상(53%)은 해킹이 원격으로 일하는 데 도움이 되었다고 말했다.

데이브 게리(Dave Gerry) 버그크라우드 CEO는 "보고서는 더 많은 해커가 고정관념의 그림자에서 벗어나 실제 이야기를 전하고 경력 경로로서 해킹이 어떤 것인지 재정의하고 있다."라고 말했다.