쓰레기 생성 AI 때문에 오픈소스 관리자 ‘녹다운’

문가용 기자

Published: 19:01, 18 Mar 2026 (Updated: 05:31, 19 Mar 2026)

💡

Editor's Pick
- AI가 작성한 취약점 보고서, 매우 그럴듯
- 취약점 전문가들, 버튼 몇 번 클릭으로 대량 생산
- 이 많은 보고서 접수받는 오픈소스 메인테이너들 죽을 지경

AI가 만들어내는 취약점 보고서 때문에 오픈소스 메인테이너들 고생이 이만저만 아니다. 보다 못한 리눅스재단과 여섯 개 빅테크 기업들이 1250만 달러 규모 보조금을 차출했을 정도다. 이 돈으로 AI발(發) ‘쓰레기’ 보고서를 걸러내는 장치를 마련하고, 오픈소스 보안 관련 신고 프로세스 자체를 개선한다는 계획이다.

심각한 현재 상황

LLM의 발전으로 취약점 연구자들은 천군만마를 얻었다. 코드 저장소를 자동으로 스캔해주고, 잠재 취약점 후보들을 생성해주며, 상세 설명까지 각각 자동으로 작성한 후 개념증명용 코드까지 생성해주는 편리한 조수가 되어주었다. 그럴듯한 내용과 형식을 갖춘 취약점 보고서를 대량으로 생산하기까지 했다.

취약점 연구자들은 버그바운티 프로그램과 플랫폼들을 찾아다니며 온갖 보고서를 제출하기 시작했다. 질보다 양으로 승부한다는 태도가 연구자들 사이에 빠르게 자리를 잡았다. 이렇게 많이 내면 뭐라도 하나 걸릴 줄 알았다. 하지만 그 보고서들이 다루고 있는 취약점들은 코드를 이해하지 못하는 AI가 추측한 내용에 불과했고, 따라서 대부분 ‘허위’로 판명났다. 심지어 이런 보고서들을 가져다 베끼는 AI들이 생겨나면서 ‘쓰레기가 쓰레기를 만드는’ 현상으로까지 이어졌다.

이런 보고서들을 가장 많이 접수 받는 건 버그바운티 운영자와 오픈소스 메인테이너였다. 실제 취약점은 1개인데, AI가 보고서 형식으로 말아주는 ‘보기 좋은 보고서’는 100건이고, 그 100건 모두 허위 내용을 담고 있었다고 한다. 100건의 보고서를 검토해야 진짜 고쳐야 할 취약점 1개를 건질까 말까한 상황이니, 업무량이 기하급수적으로 늘어났다.

“최근 취약점 연구자들의 워크플로우는 대부분 정적 분석 도구로 코드를 스캔하는 것부터 시작합니다. 그리고 그 결과를 LLM에 입력해요. 그러면 LLM이 취약점 설명을 매우 유려하게 써냅니다. 심지어 깃허브 이슈(GitHub Issue)에 올릴 글까지 자동으로 작성합니다. 연구자들은 버튼 몇 번 누르면 이 모든 과정이 끝나요. 한 사람이 하루에 보고서 수백 개를 만들 수 있는 상황인 겁니다.” 리눅스재단 측의 설명이다.

보고서가 아무리 많아도 다 처리하는 게 할 일 아닌가?

문제는 하루아침에 급증한 업무량을 소화해야 하는 오픈소스 메인테이너들이 거의 대부분 ‘자원봉사자’라는 것이다. 전업 직원도 아니니 보고서 검토에만 시간을 쏟을 수도 없을 뿐더러, 금전적 보상도 받지 않는다. 이런 일을 ‘자원하여’ 도맡을 수 있는 사람은 그리 많지 않으니, 오픈소스 메인테이너는 필연적으로 개인이거나 소규모 팀일 수밖에 없다. 쏟아지는 보고서를 처리하기에는 아무런 여건이 갖춰져 있지 않다고 봐야 한다.

“유명 오픈소스 중 cURL이라는 전송 라이브러리가 있습니다. 메인테이너는 다니엘 스텐버그(Daniel Stenberg)라는 개발자입니다. 스텐버그는 최근 AI발 쓰레기 보고서가 너무 많아서 도무지 일을 정상적으로 진행할 수 없었다고 합니다. 그래서 cURL 버그바운티 프로그램을 공식 종료했어요. 파이선소프트웨어재단(PSF)도 이미 2024년 같은 문제를 공론화 한 바 있고요.”

그러나 그 쓰레기더미 속에 발견되고 알려져야만 하는 것들이 섞여 있기에, 전량 폐기처분할 수만도 없는 게 현실이다. 이 때문에 리눅스재단은 ‘제발 쓰레기 보고서 좀 그만 만들라!’고 경고하는 대신 “AI발 쓰레기 보고서를 분류하고 처리할 자원과 도구가 더 필요하다”는 목소리를 내기 시작했다. 여기에 앤트로픽, AWS, 깃허브, 구글, 마이크로소프트, 오픈AI가 화답했다.

“빅테크들이 1250만 달러를 지원해주기로 하고, 리눅스재단 산하 알파오메가프로젝트(Alpha-Omega Project)와 오픈소스보안재단(Open Source Security Foundation, OpenSSF)가 실제 이 ‘쓰레기 보고서 사태 개선’ 프로젝트를 진행할 예정입니다.” 리눅스재단 측의 설명이다.

앞으로 할 일...대부분 미정

알파오메가와 오픈SSF는 지원금을 활용해 먼저 보안 보고서 자동 필터링 시스템을 개발할 예정이다. 중복된 내용, 허위 사실, AI 환각을 기반으로 한 보고서를 전부 걸러낼 것이라고 한다. 새로운 도구를 처음부터 만들 수도 있고, 기존 도구들을 업그레이드할 수도 있는데, 방향은 아직 미정이다.

알파오메가는 보안 전문가를 찾아 보고서 검토에 투입시키는 방향으로 노력을 기울일 예정이라고 한다. 즉 ‘인력 지원’을 담당하는 것인데, 다양한 보안 전문가들을 찾아나설 것이며, 기존 메인테이너들에게 실질적 보상을 하는 방안도 고심 중에 있는 것으로 알려져 있다. 새로 참가할 보안 전문가들 역시 어느 정도 보상을 받을 수 있을 것으로 보이지만 아직 결정된 내용은 없다.

대규모 자동 취약점 분석 시스템을 마련하는 것도 목표 중 하나다. 개별 전문가의 독립적 취약점 보고서에 대한 의존도를 근본적으로 낮춘다는 의의를 가지고 있는 목표라고 할 수 있다. “깃허브 이슈에 올라온 내용들을 자동으로 분석하고, 보안 보고 템플릿 표준화를 시도하며, 취약점 처리 프로세스의 기틀을 마련하려 합니다.”

리눅스재단이 빅테크의 지원을 받고도 아직 큰 방향조차 확실히 잡지 못하는 건 오픈소스 생태계가 가지고 있는 문제를 해결하기에 1250만 달러라는 돈은 한줌밖에 되지 않기 때문이다. 게다가 이 돈을 다 쓰고 나서 빅테크들이 다시 한 번 비슷한 지원을 해준다는 보장은 없다. 물론 이미 오래 전부터 오픈소스 보호와 관리의 중요성을 설파해온 빅테크들인지라 지속적 지원을 할 가능성이 훨씬 높아 보이는 게 사실이지만, 그럼에도 ‘약속된 자본’이 없는 상황에서 무리하게 프로젝트 덩치를 키울 수만은 없는 게 진행자 입장이다.

즉, 리눅스재단 측이 고민하는 '할 일 목록'은 오픈소스 전문가들의 '버킷리스트'에 가깝다. 적절한 자본만 뒷받침 된다면 실현 가능성이 아주 없지만은 않은, 그런 버킷리스트다.🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)