보안 취약점을 찾아 신고하면 보상하는 ‘버그 바운티’ 프로그램이 인공지능(AI)으로 대량 생성된 부실 신고에 시달리고 있다. AI가 만들어낸 그럴듯하지만 실체 없는 신고가 쏟아지면서, 검증 부담이 크게 늘었다는 것이다. 보상을 노린 무분별한 신고가 제도의 취지를 흔들고 있다는 지적도 나온다.
버그 바운티는 기업이 외부 보안 연구자에게 자사 시스템의 취약점을 찾아달라고 의뢰하고, 유효한 신고에 보상을 지급하는 제도다. 그런데 AI를 이용해 손쉽게 신고서를 양산할 수 있게 되면서, 실제로는 존재하지 않는 취약점을 그럴듯하게 포장한 신고가 늘었다. 전문성 없이도 형식만 갖춘 신고서를 대량으로 찍어낼 수 있게 된 것이 문제의 핵심이다.
이러한 ‘AI 슬롭(AI slop)’은 검증 인력의 시간을 낭비하게 만든다. 진짜 취약점과 가짜를 가려내는 데 자원이 소모되면서, 정작 중요한 보안 문제 대응이 늦어질 수 있다는 우려가 나온다. 가짜 신고를 걸러내는 데 인력이 묶이면 실제 위협에 대한 대응력이 떨어질 수밖에 없다.
이번 사례는 생성형 AI의 편의가 악용될 때 나타나는 부작용을 단적으로 보여준다. 누구나 손쉽게 그럴듯한 결과물을 만들 수 있게 된 만큼, 진위와 품질을 가리는 검증의 중요성도 함께 커지고 있다. 생산이 쉬워진 만큼 가려내는 비용이 늘어나는 역설이 보안 영역에서도 나타나고 있는 셈이다.
국내 보안 업계로서도 AI로 생성된 부실 신고 문제는 남의 일이 아니다. AI를 활용한 보안 강화와 동시에, AI 오남용에 따른 새로운 부담에도 대비해야 하는 과제를 안게 됐다. 신고의 진위를 효율적으로 검증하는 체계를 어떻게 갖출지가 제도 운영의 관건으로 떠오르고 있다.
