본문으로 건너뛰기
J
피드

취약점 제보가 더 이상 특별하지 않은 시대가 왔다

security 약 7분
tags
#vulnerability#llm#open-source#triage#ci
vote
0
댓글
북마크

전 Go 보안팀 리드였던 필리포 발소르다가 LLM 이후 취약점 제보의 의미가 바뀌었다고 주장한다. 예전에는 희소한 통찰과 비공개 제보가 귀했지만, 이제는 잠재 취약점을 찾는 것보다 실제 영향도를 빠르게 가려내는 triage가 병목이라는 얘기다.

  • 1

    LLM이 많은 보안 연구자 수준으로 잠재 취약점을 찾아낼 수 있게 되면서 ‘발견’의 희소성이 줄었다는 주장

  • 2

    공격자와 방어자 모두 비슷한 도구를 쓸 수 있어, 비공개 제보와 엠바고의 가치도 예전만큼 크지 않다고 봄

  • 3

    오픈소스 유지보수자는 모든 취약점 제보를 특별 대우하기보다 심각도와 신뢰도 기준으로 빠르게 분류해야 함

  • 4

    앞으로는 triage, 빠른 수정, 예방, CI 기반 LLM 분석이 더 중요한 업무가 될 수 있음

  • 5

    다만 고위험 취약점이나 신뢰할 수 있는 연구자의 제보는 여전히 별도 프로세스가 필요하다고 인정함

  • 필리포 발소르다가 꽤 도발적인 얘기를 꺼냄. “취약점 제보는 더 이상 특별하지 않다”는 주장임.

    • 그는 예전에 Go 보안팀을 이끌었던 사람이고, 지금도 Go 유지보수에 관여하는 오픈소스 보안 쪽 인물임.
    • 단, 글 자체는 Go 보안팀의 공식 입장이 아니라 개인 관찰이라고 선을 그음.

  • 예전 오픈소스 유지보수 문화에서는 일반 이슈와 취약점 제보를 다르게 봤음.

    • 일반 이슈, 풀 리퀘스트, 피드백은 선물이지 의무가 아니라는 태도가 가능함.
    • 하지만 취약점 제보는 달랐음. 연구자가 공개 폭로 대신 비공개로 알려주는 것이고, 프로젝트는 빠른 응답과 조사, 진행 공유, 크레딧을 제공해야 한다는 암묵적 계약이 있었음.
    • 이유는 간단함. 제보자가 주는 ‘통찰’과 ‘비공개 시간’이 사용자 보호에 직접 도움이 됐기 때문임.

  • 그런데 글쓴이는 2026년에는 그 전제가 무너졌다고 봄. 이유는 LLM임.

    • LLM은 이제 웬만한 보안 연구자만큼 잠재 취약점을 찾아낼 수 있고, 누구나 돌릴 수 있음.
    • 유지보수자도 돌릴 수 있고, 공격자도 돌릴 수 있음.
    • 그래서 희소한 건 “취약점 후보를 찾는 능력”이 아니라 “그중 뭐가 진짜 위험한지 판단하는 능력”이 됐다는 얘기.

중요

> 병목이 발견에서 triage로 옮겨갔다는 게 이 글의 핵심임. 취약점 후보는 늘었는데, 실제 영향도와 우선순위를 판별할 사람의 시간은 그대로임.

  • 이 변화는 비공개 제보와 엠바고의 가치도 흔든다고 봄.

    • 예전에는 공격자가 공개 글을 보기 전까지 취약점을 모를 가능성이 컸음.
    • 이제는 공격자도 자기 LLM에게 물어보면 비슷한 후보를 얻을 수 있음.
    • 심지어 공격자도 방어자와 똑같이 “이게 진짜 악용 가능한가?”를 판별하는 triage 병목을 겪을 거라고 봄.

  • 그래서 앞으로 보안팀의 일은 취약점 제보함을 성실하게 관리하는 것에서 조금 달라질 수 있음.

    • triage를 빠르게 하고, 진짜 위험한 건 빨리 고치고, 애초에 취약점이 들어가지 않게 예방하는 쪽이 더 중요해짐.
    • 글쓴이는 모두가 CI에서 LLM 분석을 돌리는 방법을 찾아야 할 것 같다고 말함.
    • 이건 약간 농담처럼 쓰였지만, 방향성은 꽤 진지함.
sequenceDiagram
    participant 연구자 as 외부 연구자 또는 LLM
    participant 보안함 as 보안 제보함
    participant 유지보수자 as 유지보수자
    participant CI as LLM 기반 CI 분석
    participant 사용자 as 사용자
    연구자->>보안함: 취약점 후보 대량 제보
    CI->>유지보수자: 내부 코드 분석 결과 제공
    유지보수자->>유지보수자: 영향도와 신뢰도 triage
    유지보수자->>사용자: 중요한 취약점 빠른 수정 배포
    유지보수자->>보안함: 낮은 신호 제보는 축소 처리

  • 물론 모든 제보가 평범해졌다는 뜻은 아님. 글쓴이도 ‘특별한 제보’는 여전히 있다고 인정함.

    • 극도로 심각한 취약점, 신뢰할 수 있는 연구자의 제보, 영향도가 명확한 보고서는 특별하게 다뤄야 함.
    • 다만 새 과제는 모든 제보를 특별 취급하는 게 아니라, 특별한 제보와 그렇지 않은 제보를 빨리 나누는 프로세스를 만드는 것임.

  • 댓글 반응에서도 비슷한 뉘앙스가 나옴.

    • 어떤 사람은 모델 성능 향상이 계속되는 동안 이런 흐름이 유지될 거라고 봄.
    • 또 다른 보안 담당자는 매주 12건이 넘는 보고서를 triage하는데, 많은 보고서가 ‘진짜 결함’이긴 해도 일반 사용자에게 미치는 영향이 불명확하다고 말함.
    • 예전엔 연구자를 쉽게 차단하기 어려웠지만, 이제는 낮은 품질의 LLM성 제보를 보내는 사람을 차단해도 더 나은 제보가 또 올 수 있다는 말까지 나옴. 좀 살벌하지만 현실적임.

⚠️주의

> 오픈소스 프로젝트가 보안 제보 채널을 열어두기만 하면 안전해지는 시대는 끝나가고 있음. 제보를 받아낼 체계보다, 제보를 빠르게 판별하고 수정할 운영 능력이 더 중요해지고 있음.

기술 맥락

  • 이 글에서 바뀐 선택지는 취약점 제보를 무조건 특별 취급하느냐, 아니면 일반 이슈처럼 triage 중심으로 다루느냐예요. LLM 때문에 후보 제보가 늘어나면 예전 방식으로는 유지보수자 시간이 먼저 터지거든요.

  • coordinated disclosure가 약해진다는 주장도 여기서 나와요. 예전에는 비공개 시간이 공격자보다 앞설 수 있는 완충 장치였는데, 이제 공격자도 비슷한 모델로 같은 유형의 버그를 찾을 수 있어요.

  • 그렇다고 제보를 무시하자는 얘기는 아니에요. 고위험 취약점이나 신뢰 관계가 있는 연구자의 보고서는 여전히 가치가 크기 때문에, 빠르게 특별 케이스로 승격하는 분류 체계가 필요해요.

  • CI에서 LLM 분석을 돌리자는 말은 방어자도 같은 도구를 내부화하자는 뜻이에요. 외부에서 쏟아지는 보고서를 기다리기보다, 코드 변경 시점에 잠재 결함을 먼저 찾아내야 triage 부담을 줄일 수 있어요.

보안 제보 문화가 ‘제보자에게 성실히 응답하는 예절’에서 ‘쏟아지는 후보 중 진짜 위험을 가르는 운영 문제’로 이동하고 있다는 글이다. 한국 오픈소스 프로젝트나 보안팀도 LLM발 제보 폭증을 곧 겪게 될 가능성이 높다.

prev

이전 기사 (P)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

AI 에이전트 보안, 이제 권한이 아니라 ‘실행 증거’ 싸움으로 간다

오페이크가 AI 에이전트의 ID, 실행 환경, 도구 호출, 정책 적용 여부를 암호학적으로 검증하는 오페이크 3.0을 공개했다. 핵심은 에이전트 매니페스트와 컨피덴셜 MCP라는 두 오픈소스 기술이며, 기밀 컴퓨팅과 서명된 실행 증거를 결합해 감사자나 규제기관도 독립적으로 확인할 수 있게 하는 방향이다. AI 에이전트가 업무 시스템과 데이터를 직접 만지는 시대에는 접근 권한보다 ‘무슨 일을 했는지 증명할 수 있느냐’가 더 중요해지고 있다.

security

스패로우, AI가 만든 코드 취약점 잡는 ‘Sparrow MCP’ 출시

스패로우가 AI 코딩 에이전트가 생성한 코드의 보안 취약점과 사용된 오픈소스를 실시간으로 검사하는 보안 어시스턴트 ‘Sparrow MCP’를 출시했다. 핵심 기능은 취약점 분석과 소프트웨어 자재명세서(SBOM) 생성이며, 앤트로픽의 모델 컨텍스트 프로토콜(MCP)을 지원하는 AI와 연결할 수 있다는 점이다. AI 코딩이 빨라질수록 보안 검증과 오픈소스 추적이 개발 파이프라인 안으로 더 깊게 들어오는 흐름이다.

security

오픈AI, 오픈소스 취약점 고치는 ‘패치 더 플래닛’ 시작

오픈AI가 트레일 오브 비츠와 함께 주요 오픈소스 프로젝트의 취약점을 AI로 찾고, 사람 검토를 거쳐 실제 패치까지 연결하는 프로그램을 시작했다. 파이썬, 고, cURL, 시그스토어, NATS 서버 같은 핵심 프로젝트가 초기 대상이고, 지금까지 수백 건의 보안 이슈와 수십 건의 병합된 패치가 나왔다. 핵심은 AI가 보안팀을 대체하는 게 아니라, 탐지·검증·패치·공개 조율을 빠르게 만드는 보조 엔진이라는 점이다.

security

오픈AI, 취약점 찾기부터 패치까지 돕는 ‘코덱스 시큐리티’ 공개

오픈AI가 사이버보안 이니셔티브 데이브레이크를 확대하면서 보안 전용 도구 코덱스 시큐리티와 GPT-5.5-사이버를 공개했다. 목표는 취약점 탐지에서 끝나는 게 아니라 검증, 위험도 평가, 패치 개발, 테스트, 배포까지 AI로 지원하는 것이다. cURL, Go, Python, Sigstore 등 30개 이상 오픈소스 프로젝트도 패치 지원 프로그램에 참여한다.

security

정부, 공공 SW 납품에 SBOM 단계 적용…취약점 방치하면 조달 제한까지

과기정통부와 국정원이 공공 소프트웨어 공급망 보안 로드맵을 발표했다. 내년부터 공공 정보화사업과 보안 검증 절차에 SBOM 제출과 취약점 대응 절차를 단계적으로 반영하고, 2028년부터는 외교·안보·국방 분야 제품 납품 체크리스트를 우선 적용한다.