제4의 물결: AI가 코드를 작성하고 해킹하는 시대

우리는 제4의 물결로의 진화 과정에서 의미 있는 변곡점을 넘어섰습니다. 그리고 소프트웨어 개발 및 제공의 미래. 제4의 물결은 단순히 엔지니어링 속도를 높이는 것만을 의미하지 않습니다. AI가 소프트웨어 개발 수명주기 전반에 걸쳐 적극적으로 참여하는 것을 의미합니다. 코딩 코파일럿은 2년도 채 안 되어 실험 단계를 넘어 표준 관행으로 자리 잡았으며, 그 영향은 이미 뚜렷하게 나타나고 있습니다. 포춘 100대 기업의 약 90%가 AI 코딩 도구를 사용하고 있으며, 많은 환경에서 코드의 40~50%가 AI로 생성되고 있고, 기업 팀 전반에 걸쳐 개발자들의 AI 도입이 거의 보편화되고 있습니다.

동시에 기업들은 불편한 현실에 직면하고 있습니다. 즉, 코드 생성 속도가 빠르다고 해서 복잡한 엔드투엔드 소프트웨어 개발 비즈니스 프로세스에서 가치 전달 속도가 자동으로 빨라지는 것은 아니라는 점입니다. 코딩 에이전트는 그 과정의 한 부분일 뿐입니다. 대부분의 대규모 조직에서 실제 마찰은 코딩 작업 자체에 있는 것이 아니라 계획 단계와 테스트, 보안 및 릴리스 단계와 같은 상류 단계에서 발생합니다.

하지만 여기서 더 중요한 이야기는 우리가 이미 파악한 병목 현상에 관한 것이 아닙니다. 덜 논의되지만 훨씬 더 중대한 또 다른 변화가 동시에 일어나고 있습니다.

인공지능은 이제 일류 위협 행위자가 되었습니다.

개발을 가속화했던 바로 그 기능들이 이제는 공격도 가속화하고 있습니다.

최근 Anthropic의 Mythos 모델과 관련 프로젝트인 Glasswing 컨소시엄과 같은 개발 사례는 이러한 기술이 얼마나 발전했는지를 잘 보여줍니다. 이러한 시스템은 이전에는 알려지지 않았던 취약점을 식별하고 최소한의 사람 개입으로 익스플로잇을 생성할 수 있습니다. 또한 몇 초 만에 애플리케이션을 리버스 엔지니어링할 수 있으며, 공격자는 이러한 에이전트를 활용하여 대규모 공격을 펼칠 수 있습니다.
우리는 더 이상 보안 도구의 점진적인 발전이나 공격자의 정교함에만 의존하는 시대가 아닙니다. 인공지능이 대부분의 조직이 대응할 수 있는 속도보다 훨씬 빠르게 취약점을 발견하고 악용하는 세상에 진입하고 있습니다. 가속화된 위험은 속도뿐 아니라 복잡성, 규모, 정교함, 그리고 광범위한 범위까지 아우릅니다. 이러한 모델 개발자들이 광범위한 배포의 파급 효과에 대해 우려를 표명한 것은, 바로 지금이 업계가 방향을 재조정해야 할 시점임을 의미합니다.

공격 대상 영역이 양측 모두에서 확대되고 있습니다.

지금 이 순간이 다른 점은 위험이 두 방향에서 동시에 증가하고 있다는 것입니다.

외부 적으로 AI는 공격자 생태계를 변화시키고 있습니다.

• 공격 소요 시간이 몇 시간에서 몇 초로 단축되고 있습니다.
• 에이전트와 에이전트 스웜은 전례 없는 규모와 복잡성의 공격을 가능하게 합니다.
• 진입 장벽이 낮아지고 비용이 급감함에 따라 활동적인 소규모 해킹 그룹의 수가 증가하고 있습니다.
• 인공지능은 자동화된 정찰, 취약점 생성 및 적응형 공격을 가능하게 합니다.

내부적으로 AI는 코드 작성 방식을 바꾸고 있습니다.

• 개발자들이 이전보다 훨씬 더 많은 코드를 훨씬 더 빠른 속도로 생성하고 있습니다.
• AI가 생성한 코드는 완전히 이해되지 않은 취약점을 초래할 수 있습니다.
• 코딩 코파일럿을 사용하는 많은 사례들이 개발자 스스로 코드를 이해하지 못하는 "블랙박스" 상황을 더욱 악화시키고 있습니다.
• 보안에 취약한 패턴은 미성숙하고 수동적인 방식으로 관리되는 시스템 전반에 걸쳐 대규모로 확산될 수 있습니다. DevOps 상황을 더욱 악화시키는 과정들

우리는 이미 데이터에서 이러한 변화를 확인할 수 있습니다. 에 따르면 Digital.ai의 2025 Application Security 위협 보고:

• 애플리케이션의 83%가 지속적인 공격을 받고 있으며, 이는 전년 대비 거의 20% 증가한 수치입니다.
• 통신(91%), 금융 서비스(87.5%), 자동차(86%), 의료(78.5%) 등 모든 주요 산업에서 공격률이 급증했습니다.
• 탈옥 기술과 AI 기반 공격 기법이 발전함에 따라 iOS와 안드로이드 간의 공격률 격차가 크게 줄어들었습니다.
• 누구나 쉽게 구할 수 있는 AI 도구 덕분에 위협 행위자들이 대규모로 애플리케이션을 역설계, 분석 및 악용하는 것이 그 어느 때보다 쉬워졌습니다.

결과적으로 새로운 형태의 비대칭성이 나타나고 있습니다. 취약점 발생과 악용 사이의 간격이 좁아지고 있는 것입니다. 곧 공개될 2026년 데이터는 그 경계선이 얼마나 더 이동했는지 보여줄 것입니다.

기존 보안 모델이 실패하는 이유

대부분의 기업 보안 전략은 인간 중심적인 개발 속도와 인간 규모의 공격이 특징이었던 다른 시대를 위해 만들어졌습니다.
 
해당 모델은 다음과 같은 가정을 합니다.

• 코드는 개발자가 작성하고 검토합니다.
• 취약점은 시간이 지남에 따라 발견되며, 가능한 경우 패치가 배포되었습니다.
• 수비수에게는 공격을 감지하고 대응할 수 있는 기회가 있습니다.

제4차 유행에서는 그러한 가정들이 모두 성립하지 않습니다.
 
코드가 즉시 생성되고 공격이 즉시 실행되는 시대에 보안은 주기적이거나 사후 대응적인 방식으로는 이루어질 수 없습니다. 경계선에만 존재하거나 스캔 및 패치에만 의존해서는 안 됩니다. 보안은 애플리케이션 자체에 내장되어 지속적이고 적응력 있는 실시간 방식으로 구현되어야 합니다.

애플리케이션 자체 방어의 가속화

이러한 이유로 애플리케이션 수준 보호에 대한 긴급성이 새롭게 대두되고 있습니다. 난독화, 변조 방지, 런타임 애플리케이션 자체 보호(RASP), 화이트박스 암호화와 같은 기능은 이미 오래전부터 존재해 왔지만, 4차 공격 물결에서는 이러한 접근 방식들이 선택적인 추가 보호 수단에서 오늘날의 위협 환경에서 살아남기 위한 필수 요건으로 바뀌었습니다. 이제 이러한 기능들은 현대 보안 전략의 핵심 구성 요소가 되었습니다. 이는 이러한 기능들이 새롭기 때문이 아니라 환경이 변화했기 때문입니다.
인공지능이 끊임없이 취약점을 탐색하고, 애플리케이션을 몇 초 만에 역컴파일하며, 전례 없는 수준으로 공격 규모를 확장하는 세상에서, 애플리케이션은 외부 개입에 의존하지 않고 런타임 시 자체적으로 방어할 수 있어야 합니다. 특히 공격 표면이 매우 노출되어 있고, 네트워크를 제어할 수 없으며, 운영 환경을 소유하지 못하는 모바일 및 웹 애플리케이션의 경우 이러한 방어 능력이 더욱 중요합니다.

전략적 함의

제4의 물결은 단순하지만 강력한 역동성으로 정의됩니다. 바로 AI가 소프트웨어 개발 방식과 공격 방식을 가속화하고 있다는 점입니다. 이러한 양면성은 전례 없는 규모의 기회와 위험을 동시에 만들어냅니다. AI를 단순히 생산성 향상 수단으로만 여기는 기업은 더 큰 그림을 놓치게 될 것입니다. 개발 모델과 함께 보안 모델도 발전시켜야 한다는 필요성을 인식하는 기업만이 앞서 나갈 것입니다. 이 새로운 환경에서는 속도만으로는 충분하지 않습니다. 보안이 뒷받침되지 않는 속도는 오히려 위험 요소가 될 수 있습니다.
 
제4차 물결의 승자는 더 빠르게 구축하고 혁신할 뿐만 아니라, 더욱 중요한 것은 기계 속도로 안전한 애플리케이션을 제공할 수 있다는 점입니다.
 
더욱 스마트한 소프트웨어. 에이전트급 속도. 설계 단계부터 보안을 강화했습니다.