오픈AI가 사이버보안 기업 트레일 오브 비츠(Trail of Bits)와 협력해 널리 사용되는 오픈소스 소프트웨어의 취약점을 찾아 수정하는 AI 기반 프로그램을 출범했다. 소프트웨어 공급망 깊숙이 존재하는 결함으로 인해 기업이 직면하는 보안 위험이 커지는 상황에 대응하기 위한 조치다.
‘패치 더 플래닛(Patch the Planet)’으로 명명된 이 프로젝트는 AI 기반 취약점 연구와 인간 전문가의 검토를 결합해 보안 문제를 식별하고, 이를 검증된 패치로 발전시켜 기존 프로젝트의 공개 절차를 통해 배포할 수 있도록 지원한다.
초기 참여 프로젝트에는 파이썬(Python), 고(Go), cURL, 시그스토어(Sigstore), NATS 서버(NATS Server), aiohttp, 프리엔진엑스(freenginx), pyca/cryptography, python.org 등이 포함됐다. 이들 프로젝트는 소프트웨어 개발, 네트워킹, 암호화, 소프트웨어 공급망 인프라 등 다양한 영역에서 활용되며 광범위한 기업용 애플리케이션과 서비스의 기반을 제공하고 있다.
오픈AI는 각 프로젝트가 유지관리자와의 협의를 통해 보안 지원이 가장 필요한 영역을 파악하는 단계부터 시작된다고 설명했다. 이후 연구진이 잠재적인 취약점을 조사하고, 실제 영향을 미치는 문제를 검증한 뒤 패치를 개발하거나 개선한다. 또한 테스트를 지원하고 기존 프로젝트의 공개 절차에 맞춰 취약점 공개를 조율할 예정이다.
참여 보안 연구원은 오픈AI의 AI 모델과 코덱스 시큐리티(Codex Security)를 활용해 코드를 분석하고 수정 작업이 배포 단계까지 이어질 수 있도록 지원한다. 트레일 오브 비츠 엔지니어는 결과가 유지관리자에게 전달되기 전에 이를 검토한다. 이는 오탐지와 중복 보고를 걸러내 오픈소스 프로젝트의 추가 업무 부담을 줄이기 위한 절차다.
오픈AI는 프로그램 확대에 맞춰 해커원(HackerOne), 캘리프(Calif)와도 협력하고 있다. 이들 기관은 취약점 분류, 책임 있는 공개 절차, 추가적인 취약점 발굴 작업을 지원한다.
오픈AI는 현재까지 프로젝트를 통해 “수백 건의 보안 문제를 발견하고 수십 건의 패치를 병합했으며, 더 많은 사례가 현재 조정된 공개 절차에 따라 처리되고 있다”라고 밝혔다.
또한 이번 프로젝트를 통해 퍼징(fuzzing), 과거 CVE 분석, 차등 테스트(differential testing)를 위한 도구가 개발됐으며, 패치 생성 이전에 부정확한 결과를 걸러내는 시스템도 구축됐다고 설명했다.
오픈AI가 오픈소스 보안에 집중하게 된 배경에는 로그4셸(Log4Shell)과 XZ 유틸리티(XZ Utils) 백도어 사건이 있다. 이들 사례는 공유 소프트웨어 구성요소의 결함이 얼마나 빠르게 기업용 소프트웨어 전반으로 확산될 수 있는지를 보여줬다.
업계 분석가들은 패치 더 플래닛이 기업의 위험 관리 방식에 변화를 가져올 수는 있지만, AI 기반 취약점 연구를 보다 광범위한 소프트웨어 공급망 위험 관리 프로그램의 일부로 활용할 때에만 의미가 있다고 평가했다. AI를 기존 보안 체계를 대체하는 수단으로 여겨서는 안 된다는 것이다.
포레스터의 수석 애널리스트 비스와지트 마하파트라(Biswajeet Mahapatra)는 “가장 큰 변화는 속도”라며 “AI 지원 연구는 취약점 탐지와 검증, 패치 개발, 테스트, 문서화 과정을 더욱 빠르게 수행할 수 있으며, 인간 검토자는 유지관리자에게 전달되기 전에 오탐지를 줄일 수 있다”라고 설명했다.
이어 “하지만 부족한 전문 인력에 대한 의존성이 사라지는 것은 아니다”라며 “그 역할이 취약점 분류, 악용 가능성 판단, 패치 안전성 검토, 공개 시점 결정, 운영 환경 배포 관리 등으로 이동할 뿐”이라고 분석했다.
운영 환경 적용 전 거버넌스 체계 마련 필요
오픈소스 사이버보안 아키텍트 데바슈리 다타(Devashri Datta)는 기업이 AI 기반 취약점 연구를 보안 운영 파이프라인에 도입하기 전에 적절한 거버넌스 통제를 구축해야 한다고 조언했다. 검증되지 않은 결과가 엔지니어링 조직에 과도한 부담을 주는 상황을 방지하기 위해서다.
다타는 “CISO는 위험 모델링 과정에서 ‘안전성 관련 계층(Safety Relevance Layer)’을 요구해야 한다”라며 “이는 AI가 생성한 모든 결과가 인간 분석가에게 전달되기 전에 자동 검증 절차를 통과하도록 하는 구조화된 프레임워크로, 동적 개념증명(PoC) 검증과 강력한 오탐지 필터링 기능을 포함해야 한다”라고 설명했다.
다타는 이러한 통제 체계가 취약점 공개 절차까지 포괄해야 한다고 지적했다. 특히 AI 도구가 기업이 직접 관리하지 않는 제3자 오픈소스 구성요소에서 결함을 발견한 경우가 중요하다는 설명이다. 조직은 외부 의존성에서 확인된 문제가 발견될 때 즉시 적용할 수 있는 에스컬레이션 경로, 통지 일정, 역할 분담 체계를 사전에 마련해야 한다고 강조했다.
다타는 “AI로 가속화된 환경에서 임기응변식 취약점 공개는 단순한 절차상의 공백이 아니라 기업의 책임 문제로 이어질 수 있다”라며 “운영 파이프라인에서 AI를 신뢰하려면 검증 가능한 감사 체계가 필수적이다. 조직은 AI가 특정 코드 줄을 문제로 판단한 이유와 취약점 악용 가능성을 어떻게 검증했는지, 그리고 패치가 하위 운영 시스템에 문제를 일으키지 않는다고 판단한 근거를 추적할 수 있어야 한다”라고 말했다.
정기 대응에서 지속 대응으로
업계 분석가들은 AI 기반 취약점 연구가 기업의 보안 운영 방식을 정기적인 패치 주기 중심에서 지속적인 위험 평가 체계로 전환하도록 만들 수 있다고 전망했다. 변형 분석(variant analysis)과 차등 테스트(differential testing)에 필요한 시간이 수주에서 수일 수준으로 단축될 경우, 보안팀은 자사 환경에서 실제로 중요한 취약점을 더 빠르게 선별해야 하기 때문이다.
다타는 이러한 변화가 기업의 취약점 우선순위 결정 방식에도 영향을 줄 것이라고 분석했다. 앞으로는 일반적인 CVSS(Common Vulnerability Scoring System) 점수만으로 대응 우선순위를 정하기 어려워질 것이며, 취약점은 영향을 받는 시스템과 비즈니스 역할, 운영 환경 노출 수준, 실제 악용 가능성 등을 종합적으로 고려해 평가해야 한다는 설명이다.
다타는 “이제는 맥락을 반영한 안전 중심의 우선순위 결정 체계로 전환해야 한다”라며 “기업의 SBOM과 VEX(Vulnerability Exploitability eXchange, 취약점 악용 가능성 교환) 프로그램은 단순한 규정 준수용 스프레드시트에서 벗어나 실시간 기계 판독형 데이터 체계로 발전해야 한다”라고 말했다.
이어 “특히 AI 기반 파이프라인에서는 VEX 모델을 확장해 AI가 새롭게 만들어내는 위험 영역까지 포함해야 한다”라고 설명했다.
포레스터의 마하파트라는 취약점 관리 프로그램 역시 소프트웨어 소유권, 공급업체 대응, 비즈니스 영향 분석과 더욱 긴밀하게 연결돼야 한다고 평가했다.
마하파트라는 “보안팀은 정기적인 취약점 처리 방식에서 벗어나 지속적인 노출 감소 체계로 전환해야 한다”라고 말했다.
이는 SBOM을 단순한 규정 준수 문서가 아닌, 운영 환경 노출도와 공급업체 대응 현황이 반영된 살아 있는 자산 목록으로 관리해야 함을 의미한다. 또한 패치 적용 여부를 결정할 때는 자산 중요도, 실제 악용 가능성, 보완 통제 수단, 비즈니스 영향 등을 함께 고려해야 한다고 그는 설명했다.
dl-ciokorea@foundryco.com
Read More from This Article: 오픈AI, 오픈소스 보안 강화 나선다…‘패치 더 플래닛’ 프로젝트 출범
Source: News