[인터뷰] 조지아텍, 카이스트, 포항공대, 삼성리서치, NYU 연합 '팀 애틀랜타', DARPA ‘AI 사이버 챌린지(AIxCC)’ 결승 진출…200만 달러 연구비 확보 (KAIST 백민우 연구원 인터뷰 포함)

2025년 8월 데프콘33에서 결승 개최…우승 상금 400만 달러

2024-08-17     길민권 기자

지난 8월 10일부터 11일까지 미국 라스베이거스 데프콘(DEF CON) 32에서 열린 DARPA와 ARPA-H가 공동 주최한 ‘AI 사이버 챌린지(AI Cyber Challenge, AIxCC)’에서 조지아텍, KAIST, NYU, 포항공대, 삼성리서치로 구성된 '팀 애틀랜타(Team Atlanta, 리더 조지아텍 김태수 교수)'가 결승에 진출하면서 200만불(한화 약 27억) 연구비를 확보하는 쾌거를 이뤄냈다. 결승은 2025년 8월 데프콘33에서 개최될 예정이다.

AIxCC는 각 팀이 개발한 AI 기반의 사이버 추론 시스템(Cyber Reasoning System, CRS)을 겨루는 대회로, DARPA는 리눅스와 같은 실제 소프트웨어에 취약점을 포함시켜 문제를 출제했으며, 각 팀의 CRS는 이 소프트웨어를 자동으로 분석해 취약점을 식별하고 패치하는 작업을 수행했다. 이후 DARPA는 취약점 발견 개수 및 다양성, 패치의 정확성 등을 고려해 각 CRS를 평가했다.

총 91개 팀이 등록하고 39개 팀이 참여한 이번 예선에서, 팀 애틀랜타는 결승에 진출할 7개 팀 중 하나로 선정되었다. 결승 진출팀은 준결승 상금 200만 달러로 향후 12개월 동안 AI 시스템을 개선해 나가게 된다. 결승에 진출하는 AI 시스템은 오픈 소스여야 하며 즉시 실제 출시할 수 있어야 한다. AIxCC 결선 대회에서는 최종 우승팀에게 400만 달러의 상금이 수여된다.

AIxCC

‘팀 애틀랜타’는 KAIST, 조지아텍, NYU, 포항공과대학교, 삼성리서치로 구성된 팀으로, 특히, 팀 애틀랜타의 CRS는 예선 문제로 출제된 유명 소프트웨어인 sqlite3에서 출제자가 의도하지 않은 신규 취약점을 발견하는 성과를 거두기도 했다. 이는 AI가 보안 분야에 가져올 혁신의 가능성을 보여주며, AIxCC의 목표와도 부합하는 중요한 성과로 평가된다.

팀 애틀랜타 리더(Chief Leader of Team Atlanta)인 조지아텍(Georgia Tech) 김태수 교수는 “애틀랜타 팀이 DARPA AIxCC 대회에서 결선에 진출하게 되어 매우 자랑스럽다. 이번 성과는 조지아공대 연구소(GTRI), 삼성리서치, 카이스트와 포스텍 등과 같이 우수한 연구원들과 협업의 결과다. 30명이 넘는 헌신적인 학생과 연구원들이 준결승전에서 팀워크의 힘을 보여줬다. 결승전에 진출하면서 우리는 사이버 보안과 인공지능의 경계를 넓히기 위해 최선을 다하고 있으며, 이번 대회의 결과물이 내년에는 보안 환경을 변화시킬 것이라고 굳게 믿는다"고 조지아텍과 인터뷰를 통해 소감을 밝혔다.

내년

데일리시큐는 이번 예선 대회에 참가한 카이스트 윤인수 교수 연구실 백민우 연구원과 인터뷰를 진행했다.

■인터뷰=KAIST 정보보호대학원 백민우 연구원

-DARPA와 ARPA-H가 공동 주최한 AI 사이버 챌린지(AIxCC)가 2024년 DEF CON 32에서 개최되었는데요. 이번 대회에 대해 소개를 부탁드립니다.

▶이번 AIxCC는 이전 2016년에 개최되었던 Cyber Grand Challenge(CGC)에 AI를 접목한 대회입니다. AI(LLM)을 사용하여 상용 프로그램들에서 취약점을 찾고 패치를 생성하는 일련의 과정을 사람이 전혀 개입하지 않고 자동화하는 시스템을 개발하는 것이 대회의 목표입니다. 금융 시스템부터 의료 시스템까지 현대 시대에 쓰이는 거의 모든 곳에 쓰이는 프로그램들에서 취약점을 자동으로 탐지하고 수정까지 해줄 수 있는 시스템을 개발한다는 것은 이를 사용하는 모든 사람들에게 한 단계 더 안전한 보안 수준을 가져다 줄 것으로 기대하고 있습니다.

-이번 대회에 참가하게 된 계기는 무엇인가요?

▶대회 참가의 개인적인 이유는 우선 이렇게 큰 대회에 참여할 수 있다는 것이 큰 것 같습니다. 뛰어난 연구원들과 함께 만들어내는 시스템이 얼마나 좋은 성과를 낼지도 궁금했습니다. 그리고 보안을 연구하는 대학원생으로서 취약점을 찾고 패치까지 해내는 완전히 자동화된 시스템을 만든다는 것은 매우 낭만적인 일이라고 생각합니다.

-팀 애틀랜타 소개를 부탁드립니다.

▶저희는 Team Atlanta 소속입니다. 팀의 총 인원은 30명이 조금 넘으며, 여러 개의 기관으로 이루어져 있습니다. Georgia Tech, KAIST, POSTECH, Samsung Research, Samsung Research America, NYU 등이 참여했습니다. 공통점은 조지아텍 김태수 교수님 연구실의 재학생 혹은 졸업생이 있는 단체로 이루어져 있다는 것입니다. 저희 연구실은 윤인수 교수님께서 김태수 교수님 연구실에서 박사 학위를 받으셔서 같이 하게 되었습니다.

저희 연구실에서는 교수님까지 5명이 참여했으며 패치를 생성하는 부분을 맡았습니다. 좋은 패치는 취약점을 수정함과 동시에 프로그램의 원래 기능을 해치지 않는 것이 중요합니다. 그래서 실제 사람이 취약점을 찾고 어떻게 패치를 할 것인지 고민하는 과정을 AI가 따라할 수 있도록 많은 노력을 했습니다.

다양한 정보들을 제공해주며 어떤 경우에서 제일 잘하는지 살펴보기도 하며, 어떤 LLM 모델은 어떤 과제를 더 잘하는지 파악하고 이를 활용하여 최선의 결과를 내도록 노력하였습니다.

-주로 어떤 문제들이 출제됐나요?

▶이번 데프콘 32에서 열린 ASC(AIxCC Semifinal Competition)에서는 총 5가지의 CP(Challenge Program)이 나왔습니다. Linux Kernel, nginx, sqlite3, Apache Tika, Jenkins 등입니다. 각각의 CP에는 주최측에서 인위적으로 주입한 취약점들이 약 10개씩 포함되어 있으며 여기서 몇 개를 찾고, 그 중에서 또 몇 개의 패치를 생성할 수 있는지에 대해 각 팀의 점수를 부여합니다. 5개의 CP들은 C 혹은 Java, 둘 중 하나의 언어로 이루어져 있으나 본선에서는 더 다양한 언어들로 이루어진 프로그램들이 문제로 나올 예정입니다.

이번 대회에서 각 팀이 어떤 문제를 출제했는지 정확하게 공개되진 않았고, 어떤 팀이 가장 먼저 취약점을 찾았고, 패치에 성공했는지만 공개됐습니다. 저희 팀 또한 가장 먼저 찾은 취약점과 패치가 몇 가지 있었습니다. 더욱이 저희 팀의 결과에서 주목할 점은 SQLite에서 운영진에서 임의로 넣은 취약점이 아니라 실제 제로데이 취약점을 찾았다는 것입니다. (https://sqlite.org/forum/forumpost/171bcc2bcd)

이는 기존 프로그램에서 취약점을 자동으로 찾고 패치를 생성하는 AIxCC의 의도를 이미 수행하고 있는 것으로 볼 수 있을 것입니다.

-결선은 언제 어떻게 진행되나요?

▶결선은 내년 8월에 열리는 데프콘 33에서 진행됩니다. 결선에 진출한 7팀의 순위를 더 넓은 스펙트럼의 프로그래밍 언어와 취약점 종류로 결정합니다. 여기서 1위 팀은 400만 달러의 연구비를 상금으로 받게 됩니다.

-이번 대회 결선에 진출한 소감 한마디 부탁합니다. 

▶팀원 모두가 같이 노력해서 이루어진 결과라고 생각합니다. 하나의 프로그램에서만 버그를 잘 찾거나 패치만 잘한다고 해서 이룰 수 있는 결과는 아니었습니다. 다른 팀들도 많은 시간과 노력을 기울인 결과입니다. 그 중에서 저희 팀이 상위 7개 팀에 들었던 것은 큰 다행이며 감사한 일이라고 생각합니다.

제가 포함되어 있는 패치팀의 입장에서 봤을 때 이번 예선까지 만든 시스템은 아직까지도 너무나도 많은 할 일이 남아있습니다. 남은 1년 동안 이제 시작이라는 마음으로 최선을 다해서 본선에서 좋은 결과 낼 수 있었으면 좋겠습니다. 참여한 팀 애틀란타 모든 분들께 감사와 축하의 인사를 전합니다. 감사합니다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security★