마이크로소프트, 100개 이상의 AI 에이전트를 대결해 윈도우 취약점을 탐지

마이크로소프트의 MDASH는 단일 거대 모델이 아니라 100개 이상의 전문화된 AI 에이전트가 상호 경쟁·협업하는 멀티 에이전트 아키텍처를 기반으로 한다. 일반적으로 이런 시스템은 각 에이전트에게 정적 분석, 퍼징(fuzzing), 심볼릭 실행, 익스플로잇 후보 생성, 패치 검증 같은 세분화된 역할을 부여하고, 에이전트들이 서로의 결과를 검증하거나 반박하면서 false positive를 줄이는 적대적(red team vs blue team) 구조를 취한다. Windows처럼 수천만 줄 규모의 레거시 코드베이스에서는 사람이 모든 경로를 추적하기 어렵기 때문에, LLM이 콜 그래프와 데이터 플로우를 자연어 추론으로 따라가며 메모리 손상·권한 상승 같은 취약점 패턴을 후보로 제시하고, 다른 에이전트가 이를 재현 PoC로 입증하는 방식이 효과적이다. 마이크로소프트가 단일 Patch Tuesday에서 4건의 Critical 포함 16개 결함을 찾아냈다는 것은, 이미 정적 분석 도구와 내부 보안팀이 거른 코드에서도 LLM 에이전트 군집이 추가로 의미 있는 결함을 발굴할 수 있음을 보여준다.

엔지니어 입장에서 이 흐름은 두 가지 방향으로 즉각적인 영향을 준다. 첫째, 공격자 측도 동일한 기술 스택을 운용할 수 있다는 점이다. 오픈소스 LLM과 에이전트 프레임워크(LangGraph, AutoGen, OpenHands 등)가 성숙하면서, 과거 수개월씩 걸리던 1-day 취약점 분석과 익스플로잇 작성이 패치 공개 후 수 시간 내로 단축되는 사례가 늘고 있다. 즉 Patch Tuesday로 공개되는 CVE를 운영 환경에 반영하는 사이클이 며칠 단위에서 24시간 이내로 압박될 가능성이 높다. 둘째, 개발 단계에서도 SAST/DAST 도구의 다음 세대가 에이전트 기반으로 재편될 가능성이 크다. GitHub Copilot Autofix, Semgrep Assistant, Google의 OSS-Fuzz-Gen이 이미 비슷한 방향으로 움직이고 있으며, MDASH는 그 사내 적용 사례로 볼 수 있다.

한국 소프트웨어 엔지니어들이 당장 점검해야 할 것은 패치 적용 자동화 파이프라인과 의존성 모니터링 체계다. 사내에서 Windows 서버, .NET 런타임, WSL 기반 워크로드를 운영한다면 KB 패치 배포 SLA를 재검토하고, WSUS·Intune·Ansible 같은 도구로 ring 기반 단계적 롤아웃을 자동화해 두는 것이 안전하다. 또한 자체 제품 코드베이스에 대해서도 단순 lint·SAST를 넘어 LLM 기반 보안 리뷰를 CI에 통합하는 PoC를 시작해볼 시점이다. CodeQL, Semgrep Pro Engine, Snyk Code의 AI 기능, 혹은 사내 LLM에 보안 룰북을 주입한 커스텀 에이전트 등 선택지가 다양하다. 핵심은 "모델이 무엇을 찾았는가"가 아니라 "재현 가능한 PoC와 패치 제안까지 자동화되는 워크플로"를 만드는 것이며, 마이크로소프트가 사용 모델을 공개하지 않는 것에서 보듯 모델 자체보다 에이전트 오케스트레이션·검증 파이프라인의 노하우가 차별화 요소가 된다는 점도 기억해 둘 만하다.