“AI 버그 제출 사절”…빅테크, 스스로 만든 오픈소스 보안 위기 수습 나서
AI 생성 버그 보고서 급증으로 오픈소스 보안 팀이 과부하에 시달리는 가운데, 빅테크가 문제를 키우고 해결책도 내놓는 아이러니한 상황이 펼쳐지고 있다.
구글이 오픈소스 소프트웨어 버그 탐색 프로그램에 AI 생성 제출물을 더 이상 받지 않기로 했다. 동시에 오픈소스 코드 보안 강화를 위해 AI를 활용하는 별도 프로그램에는 자금을 지원한다.
구글 오픈소스 소프트웨어 취약점 보상 프로그램 팀은 AI 생성 버그 제출물의 낮은 품질을 우려하고 있다. 취약점 유발 방식에 대한 환각 오류, 보안 영향이 미미한 버그 보고 등이 문제로 꼽힌다.
구글은 블로그 게시물에서 “트리아지 팀이 가장 심각한 위협에 집중할 수 있도록, 일부 등급에 대해 품질 낮은 보고서를 걸러내고 실제 영향에 집중하기 위한 더 높은 수준의 증명(OSS-Fuzz 재현 또는 병합된 패치 등)을 요구할 것”이라고 밝혔다.
리눅스 재단도 AI 생성 버그 제출 급증으로 처리에 어려움을 겪고 있다. 구글, 앤트로픽, AWS, 마이크로소프트, 오픈AI 등 AI 기업에 재정 지원을 요청했고, 이들은 오픈소스 소프트웨어 보안 개선을 위해 총 1,250만 달러를 공동 출연하기로 했다.
리눅스 커널 프로젝트의 그렉 크로아-하트만은 블로그 게시물에서 “보조금 지원만으로는 AI 도구가 오픈소스 보안 팀에 오늘날 야기하고 있는 문제를 해결할 수 없다”고 지적했다. AI 생성 보안 보고서 급증으로 메인테이너들이 이미 과부하 상태인 만큼, 단순 자금 지원보다 실질적인 처리 도구가 필요하다는 취지다. 오픈SSF가 이 문제에 대응할 수 있는 프로젝트와 자원을 보유하고 있다는 점도 강조했다.
지원금은 오픈소스 보안 프로젝트 알파-오메가와 오픈소스 보안 재단이 공동 관리한다. 쏟아지는 AI 생성 제출물을 메인테이너들이 효율적으로 걸러내고 처리할 수 있도록 AI 기반 보안 도구 개발과 보급에 쓰인다. 말하자면, AI가 만들어낸 문제를 AI로 해결하는 구조다.
