결승에 오른 7개 팀 모두 8월 중 CRS 오픈소스로 공개 예정
미국 라스베이거스에서 열린 DEF CON 33에서 미국 국방고등연구계획국(DARPA)이 2년간 진행된 AI 사이버 챌린지(AIxCC)의 최종 우승팀을 발표했다. 이번 대회는 인공지능을 활용해 대규모 소프트웨어 취약점을 자동으로 탐지·수정하는 ‘사이버 추론 시스템(CRS)’ 개발을 목표로 했다. 우승은 ‘팀 애틀랜타(Team Atlanta)’가 차지했으며, 2위는 트레일 오브 비츠(Trail of Bits), 3위는 보안기업 ‘티오리(Theori)’가 차지했다. 상금은 각각 400만 달러, 300만 달러, 150만 달러가 수여됐다.
DARPA와 미국 보건고등연구계획국(ARPA-H)은 이번 대회를 통해 의료, 수도, 지방정부 등 주요 기반시설에서 널리 쓰이는 오픈소스 소프트웨어를 대상으로 실제 취약점 대응 속도와 품질을 측정했다.
결승 진출팀들의 시스템은 삽입된 취약점의 77%를 발견하고 61%를 패치했으며, 이 과정에서 18건의 실제 신규 취약점도 찾아냈다. 평균 패치 시간은 약 45분이었다. 이는 지난해 준결승 때보다 눈에 띄게 향상된 성과로 평가됐다.
팀 애틀랜타, 한-미 연합팀으로 국제해킹대회 다수 우승 경험
팀 애틀랜타는 조지아공대(Georgia Tech), 삼성리서치(Samsung Research), 한국과학기술원(KAIST), 포항공대(POSTECH) 연구진이 함께 구성한 미국-한국 연합팀이다. 이들은 국제 해킹 대회에서 다수의 우승 경험을 가진 멤버들이며, 이번 대회에서는 자체 개발한 CRS ‘아틀란티스(Atlantis)’를 통해 우승을 거머쥐었다.
2위를 차지한 트레일 오브 비츠는 ‘버터컵(Buttercup)’이라는 시스템을 개발했으며, 대회 직후 소스코드를 공개했다. 티오리 역시 결승 진출에 사용한 CRS ‘로보 덕(Robo Duck)’ 관련 자료를 공개했다.
DARPA는 결승에 오른 7개 팀 모두가 8월 중 CRS를 오픈소스로 공개한다고 밝혔다. 여기에 더해 대회에서 사용된 인프라와 데이터셋도 순차적으로 공개해 연구자, 보안업체, 인프라 운영기관이 재현 실험과 확장을 할 수 있도록 지원할 계획이다.
또한 DARPA와 ARPA-H는 기술 상용화를 위해 140만 달러 규모의 추가 지원금을 마련하고, 특히 의료 분야에 적용을 확대하기 위해 2,100만 달러 이상을 추가 투자하겠다고 밝혔다.
이번 결승은 단순한 기술 경연을 넘어, 인공지능을 활용한 코드 검토와 자율 복구의 가능성을 현장에서 입증하는 자리였다. 대회에는 구글(Google), 마이크로소프트(Microsoft), 오픈AI(OpenAI), 앤스로픽(Anthropic) 등이 모델 학습과 실행을 지원하는 크레딧을 제공했다.
향후 이 기술들은 미션 크리티컬 환경에서의 테스트를 거쳐 의료, 산업, 공공 부문 등 다양한 분야로 확산될 전망이다. ARPA-H는 특히 의료기관에서의 조기 배치를 적극 추진하겠다고 밝혔다.
