cURL, 버그 보상금 제도 폐지...AI 생성 허위 보고서 급증에 대응

오픈소스 라이브러리 cURL이 AI가 생성한 부실 버그 리포트 급증으로 보상금 제도를 1월 말 종료한다.

[한국정보기술신문] 세계적으로 널리 사용되는 오픈소스 코드 라이브러리 cURL이 버그 보상금 제도를 폐지하기로 결정했다. AI가 자동 생성한 부실한 버그 리포트가 급증하면서 관리자들의 업무 부담이 한계에 달했기 때문이다.

cURL 관리자 다니엘 스텐버그는 스웨덴 전자산업 뉴스 사이트 etn.se와의 인터뷰에서 AI 슬롭과 부실 리포트가 최근 더욱 증가하고 있어 홍수를 막기 위해 노력해야 한다고 밝혔다. 그는 쓸모없는 리포트를 처리하는 데 너무 많은 시간을 소비하고 있다며, 이들 대부분은 실제 문제가 아니거나 과장되거나 오해에 기반한 것들이라고 설명했다.

AI 생성 버그 리포트의 양면성

cURL은 AI가 생성한 오류 보고서로 넘쳐나고 있다. 다른 오픈소스 프로젝트들도 같은 문제를 겪고 있다. 스텐버그는 작년 블로그에서 AI가 생성한 버그 리포트 문제를 다룬 글을 발표해 큰 반향을 일으켰다. 그는 이를 천 개의 슬롭에 의한 죽음이라고 표현했다.

대부분의 AI 생성 오류 보고서가 순수한 허튼소리지만, 모든 AI 보조 버그 리포트가 쓸모없는 것은 아니다. 정확한 비율을 파악하기는 어렵지만, 스텐버그는 100건 이상의 양질의 AI 보조 리포트가 실제 수정으로 이어졌다고 밝혔다.

이런 보고서들이 쓸모없는지 판단하는 작업 자체가 시간 소모적이며, 관리자들에게 막대한 추가 업무를 야기하고 있다. 따라서 cURL은 1월 말부터 보상금 지급을 중단하기로 했다.

보상금보다 명성이 진짜 동기

지금까지 cURL에 제출된 87건의 버그 리포트에 대해 총 10만 1020달러의 보상금이 지급됐다. 보상금이 없었다면 얼마나 많은 버그가 발견되지 못했을까라는 질문에 대해, 버그 사냥 챔피언인 조슈아 로저스는 흥미로운 답변을 내놓았다.

로저스는 작년 오픈소스 프로젝트에 대량의 버그 리포트를 제출해 주목받은 인물이다. 흥미롭게도 그의 리포트 역시 AI 도구의 도움을 받아 생성됐다. 그러나 그는 단순히 AI를 맹목적으로 따르지 않고, AI의 분석을 검토하고 추가한 후에 제출한다.

보안 취약점 헌터로 활발히 활동하는 로저스 본인도 보상금 폐지가 훌륭한 아이디어라고 생각한다. 그는 솔직히 말해서 터무니없는 일이었고, 진작에 중단했어야 했다고 etn.se에 밝혔다.

경제적 보상보다 명예가 중요

로저스는 보상금이 사라지면 코드 리뷰를 할 인센티브가 없어지는 것 아니냐는 질문에, 그것은 하나의 인센티브일 뿐 전부가 아니라고 답했다. 특히 실제로 중요한 것을 보고할 때는 더욱 그렇다고 덧붙였다.

그는 cURL에서 취약점을 발견하는 진짜 인센티브는 명성이지 수백 달러나 수천 달러가 아니라고 강조했다. 1만 달러라는 cURL의 최대 보상금은 cURL에서 심각한 취약점을 찾을 수 있는 능력을 가진 사람에게는 큰 돈이 아니라는 것이다. 브랜드는 값을 매길 수 없다는 그의 말이다.

다만 로저스는 모든 사람이 자신과 같은 태도를 공유하지는 않을 수 있다는 점을 인정했다. 그는 개발자와 보안 연구자 사이에는 비대칭적 관계가 있다고 지적했다. 연구자가 비싼 나라에 있든 저렴한 나라에 있든 개발자에게 제공하는 가치는 동일하지만, 보상금의 가치는 모든 리포터에게 동일하지 않다는 것이다. 사회경제적으로 낮은 지역에서는 스웨덴의 점심값 정도가 되는 보상금도 엄청난 금액이 될 수 있다고 설명했다.

cURL의 결정은 AI 시대에 오픈소스 프로젝트들이 직면한 새로운 도전을 보여준다. 보상금 제도 폐지가 실제로 AI 생성 허위 리포트를 줄이는 데 효과적일지, 그리고 이것이 다른 오픈소스 프로젝트에 어떤 영향을 미칠지 귀추가 주목된다.

한국정보기술신문 정보보안분과 안서진 기자 news@kitpa.org