보안 연구자 발소르다 "취약점 신고는 더 이상 특별하지 않다"...AI가 흔든 보안 제보의 위상...LLM이 누구나 비슷한 취약점을 찾아내며 '귀한 통찰·기밀 유지'라는 전제가 무너져, 분류·신속 패치·예방이 새 과제로

[한국정보기술신문] 오픈소스 보안 분야의 유명 개발자인 필리포 발소르다(Filippo Valsorda)가 6월 23일 자신의 블로그에 "취약점 신고는 더 이상 특별하지 않다(Vulnerability Reports Are Not Special Anymore)"는 제목의 글을 올렸다. 그는 거대언어모델(LLM)이 보안 취약점을 손쉽게 찾아내는 시대가 되면서, 그동안 보안 제보를 다른 일감과 달리 특별하게 대우해 온 관행의 근거가 사라지고 있다고 주장했다. 거대언어모델은 챗GPT처럼 방대한 글을 학습해 사람처럼 문장을 만들고 코드를 분석하는 인공지능(AI)을 말한다.

취약점 신고(보안 제보)란 소프트웨어에서 해킹에 악용될 수 있는 허점을 발견한 사람이 이를 개발자에게 비공개로 알려 주는 것을 말한다. 발소르다는 구글 재직 시절 프로그래밍 언어 'Go'의 보안팀을 이끌었고, 현재는 전문 오픈소스 유지보수 조직 '지오미스(Geomys)'에서 활동하는 인물이다. 유지보수자는 오픈소스 소프트웨어를 만들고 고쳐 나가며 관리하는 개발자를 가리킨다.

발소르다는 그동안 오픈소스 유지보수자들이 취약점 신고를 일반적인 버그 신고나 기능 요청과는 다르게 취급해 왔다고 설명했다. 보통의 제안이나 요청은 받아들이거나 무시할 수 있는 '선물' 같은 것이지만, 취약점 신고에는 빠르게 응답하고, 내용을 조사하며, 진행 상황을 알려 주고, 끝에는 발견자의 공로를 밝혀 주어야 한다는 의무가 따랐다는 것이다.

그가 꼽은 이유는 두 가지다. 첫째, 연구자가 취약점을 비공개로 알려 줌으로써 개발자에게 '귀한 통찰'을 제공한다는 점이다. 둘째, 그 사실을 일정 기간 비밀로 지켜 줌으로써 공격자가 악용 도구를 만들기 전에 개발자가 먼저 고칠 시간을 벌어 준다는 점이다. 즉 연구자는 도움을 요청하는 쪽이 아니라 오히려 서비스를 제공하는 쪽이며, 그 대가로 신속한 응답과 공로 인정을 받아 왔다는 설명이다.

발소르다는 이런 관행이 결국 이용자를 안전하게 지켜야 할 책임에서 비롯됐다고 봤다. 특별한 것은 연구자 개인이 아니라 그들이 가져다주는 통찰과 기밀 유지였으며, 보안 제보를 무시하는 것은 이용자의 안전을 가볍게 여긴다는 신호로 받아들여져 마땅히 부끄러운 일로 취급됐다는 것이다.

그러나 발소르다는 2026년 현재 이 전제들이 더는 성립하지 않는다고 주장했다. 핵심 근거는 LLM의 성능이다. 그는 LLM이 이제 웬만한 보안 연구자만큼 취약점을 잘 찾아내며, 유지보수자도 공격자도 누구나 이를 돌려 볼 수 있게 됐다고 지적했다.

이에 따라 통찰의 희소성이 사라졌다는 것이 그의 진단이다. 발소르다는 이제 병목이 '취약점을 찾는 일'이 아니라 '찾아낸 것 중 무엇이 진짜인지 가려내는 일'로 옮겨 갔다고 설명했다. 이렇게 제보를 검토해 진위와 우선순위를 판별하는 작업을 분류(트리아지·triage)라고 부른다. 이미 신뢰 관계가 쌓인 사이가 아니라면, 외부 연구자가 이 판별 과정에 의미 있게 보태기는 어렵다고 그는 봤다. LLM이 쏟아 내는 결과물을 추려 내는 일이나, 보안 제보함에 쌓인 신고를 골라내는 일이나 옥석을 가리는 품은 비슷하다는 것이다.

기밀 유지의 가치도 예전 같지 않다고 발소르다는 짚었다. 공격자 역시 굳이 공개된 분석 글을 기다릴 필요 없이 자신의 LLM에 물어보면 되고, 실제로는 공격자도 방어자와 똑같이 '무엇이 진짜 취약점인지 가려내는' 병목에 부딪힌다는 것이다. 비밀 유지 기간을 두고 공개 시점을 조율하는 이른바 '조율된 공개(coordinated disclosure)'의 효용이 줄었다는 의미다.

발소르다는 취약점 신고가 특별 대우를 받던 시대가 저물고 있을지 모른다고 결론지었다. 다만 그는 이런 변화가 "이상하고 불편하게" 느껴진다고 솔직히 덧붙였다. 보안 제보를 그냥 흘려보내는 것은 본능적으로 잘못됐다고 느껴지기 때문이다. 실제로 그는 며칠 전까지만 해도 널리 쓰이는 오픈소스 도구 'curl(컬)'이 취약점 신고 채널을 한 달간 닫기로 한 결정이 지나치다고 반박하던 입장이었다고 밝혔다. 그러면서도 정작 보안 제보 처리가 이용자를 지키는 최선의 방법이라고 주장할 논거를 자신은 더 이상 찾지 못하겠다고 토로했다.

그는 앞으로 보안의 핵심 과제는 분류와 신속한 패치, 그리고 예방이라고 강조했다. 또 취약점 분석을 위한 LLM 점검을 소프트웨어 자동 검사 과정(CI)에 넣는 방안도 모두가 고민해야 한다고 제안했다. CI는 코드를 고칠 때마다 자동으로 검사와 시험을 돌려 문제를 미리 걸러 내는 개발 방식을 말한다.