마이크로소프트가 자체 개발한 AI 기반 보안 시스템 '코드명 MDASH'를 Windows, Azure, 인증 시스템 등 핵심 인프라에 본격 적용했다. 벤치마크 통과를 넘어 실제 개발팀의 보안 워크플로우에 통합되어 가동 중인 것이 특징이다.

MDASH는 마이크로소프트 보안(Microsoft Security)이 개발한 다중 에이전트 스캔 시스템으로, 소프트웨어 취약점을 발견·검증·수정하는 전 과정을 자동화한다. 기존 패턴 매칭 수준을 넘어 복잡한 코드 로직을 추론할 수 있도록 설계됐다. 특히 Windows, Hyper-V, Azure, 인증 시스템 같은 마이크로소프트의 대규모 레거시 플랫폼에서 보안 리뷰를 자동으로 수행할 수 있다는 점이 핵심이다.

"모든 취약점에는 두 개의 시간이 존재한다. 방어자가 취약점을 찾기까지의 시간과 공격자가 먼저 찾기를 바라는 시간이다." 마이크로소프트는 이같은 근본적 비대칭을 해소하기 위해 MDASH를 개발했다고 설명했다. 기존에는 정해진 시점에만 보안 리뷰를 했지만, 매일 변하는 현대 소프트웨어 개발 환경에서 이는 큰 리스크가 된다는 것이다.

MDASH, 실제 개발팀에서 작동 중

가장 중요한 변화는 MDASH가 실제 어디서 작동하고 있는가다. Windows 팀, Azure 팀, Identity 시스템 팀 등 마이크로소프트 내부 엔지니어들이 MDASH를 기존 보안 워크플로우에 통합해 운영 중이다. 벤치마크 테스트 환경이 아닌 실제 개발 파이프라인에서 사용되고 있다는 뜻이다.

대상은 마이크로소프트가 구축한 가장 복잡한 시스템들이다. Windows 커널과 Hyper-V, 네트워킹 스택, Azure의 가상화 및 핵심 인프라 서비스, Active Directory 같은 인증 시스템이 포함된다. 이들은 커널 호출 규칙, 객체 생명주기 불변식, 신뢰 경계 등을 이해해야만 코드 로직을 분석할 수 있는 영역이다. 훈련 데이터에 포함되지 않은 매우 고도화된 맥락을 다루기 때문에, 언어 모델 기반 시스템으로는 접근이 어렵던 영역이다.

MDASH는 이런 깊은 계층의 보안팀을 대체하는 것이 아니라, 그들이 혼자서는 커버하지 못하는 영역을 확대해준다. Windows 팀은 "MDASH가 우리 팀으로 하여금 이전에 불가능했던 깊이의 분석으로 Windows 규모의 취약점 사냥을 수행할 수 있게 했다"고 평가했다.

특히 MDASH는 기존 DevSecOps 도구와 깊이 있게 통합된다. GitHub Advanced Security(GHAS)를 통해 발견된 취약점이 풀 리퀘스트에 인라인으로 표시되고, Azure DevOps에서는 빌드를 게이팅하며, Microsoft Defender 워크플로우에 자동 우선순위 지정된다. 이는 단순히 스캐너를 덧붙이는 것이 아니라, 발견 → 검증 → 수정의 전체 사이클이 일반 코드 변경과 동일한 방식으로 처리된다는 뜻이다.

이번 달 발견된 10개 CVE, 최고 심각도 9.8

MDASH의 실제 능력은 무엇을 찾아내는가에서 나타난다. 이달 마이크로소프트의 정기 패치 공개일에는 MDASH가 발견한 취약점들이 포함됐다.

발견된 취약점 중에는 Windows Hyper-V의 범위 밖 읽기(CVE-2026-45607, 심각도 8.4), 타입 혼동(CVE-2026-45641, 8.4), 힙 버퍼 오버플로우(CVE-2026-47652, 8.2) 같은 원격 코드 실행 취약점이 있다. Windows DNS 클라이언트의 권한 상승 취약점(CVE-2026-41108, 심각도 7.0), Active Directory의 스택 버퍼 오버플로우(CVE-2026-45648, 8.8), Remote Desktop 클라이언트의 힙 버퍼 오버플로우(CVE-2026-47289, 8.8)도 발견됐다.

특히 주목할 점은 Windows 커널의 개방 후 사용(Use-after-free) 취약점(CVE-2026-45657)과 HTTP.sys의 정수 오버플로우(CVE-2026-47291)인데, 둘 다 심각도가 9.8로 최고 수준이다. 이들은 원격 코드 실행을 초래할 수 있는 치명적 결함이다. 더 흥미로운 것은 DNS와 DHCP 클라이언트의 하위 수준 버그들인데, 이런 것들은 기존의 수동 코드 리뷰로는 발견하기 극도로 어려운 영역이다. 다중 에이전트 시스템이 고도로 특화된 분석을 수행할 때만 드러날 수 있는 결함들이다.

벤치마크 통과, 그 다음이 진짜 시작

마이크로소프트는 CyberGym이라는 업계 벤치마크를 활용해 MDASH를 계속 개선했다. CyberGym은 1,507개의 실제 취약점으로 구성되어 있다. MDASH는 최신 버전에서 이 벤치마크에서 96.5%의 탐지율을 기록했다.

이는 초기 발표 이후로 파이프라인 전체를 재구축하고 새로운 기능을 추가한 결과다. 고객 피드백과 광범위한 내부 테스트를 거쳐 진화했다. 단순히 단일 언어 모델을 사용하는 것이 아니라, 특화된 AI 에이전트들의 패널을 조직하는 방식으로 설계됨으로써, 각 에이전트가 발견 파이프라인의 특정 역할에 집중할 수 있게 한 것이 핵심이다.

시사점: AI가 보안 방정식을 바꾸고 있다

MDASH가 주는 가장 큰 교훈은 "AI가 보안의 타이밍 비대칭을 어느 정도 해소할 수 있다"는 증거를 제시했다는 것이다. 그간 보안 업계는 공격자가 항상 유리한 위치에 있다는 것을 전제했다. 방어자는 수동 리뷰, 정기적 감시, 사후 대응에 의존해 왔기 때문이다.

하지만 MDASH 같은 시스템이 실제 개발팀의 일상 워크플로우에 통합될 때, 취약점을 찾는 속도가 근본적으로 달라질 수 있다. 공격자가 수동으로 분석하는 속도보다 AI가 자동으로 스캔하는 속도가 더 빠를 수 있다는 뜻이다.

다만 남은 문제는 분명하다. MDASH가 찾은 취약점도 결국 인간 엔지니어가 검증하고 수정해야 한다. 진정한 의미의 "AI 속도의 보안"은 발견뿐 아니라 수정과 배포까지의 전체 사이클이 가속되어야 실현된다는 뜻이다. 이것이 마이크로소프트가 MDASH를 DevOps 파이프라인에 깊이 통합하려는 이유다.