'AI 생성 취약점 보고서' 넘쳐 나는 리눅스...'버그 바운티' 포기도 속출

AI 요약

오픈소스 생태계와 보안 업계가 '미소스' 등 생성 AI로 인한 자동 취약점 탐지 보고 급증과 중복 제출로 어려움을 겪고 있으며 일부 기업은 버그 바운티 프로그램을 중단했습니다. 리눅스 창시자 리누스 토르발스는 17일 LKML에서 현재 커널 보안 제보 체계가 거의 관리 불가능하다고 비판하며 AI 도구로 발견된 취약점은 비공개 리스트가 아닌 관련 유지 관리자에게 공개적으로 재현 가능한 테스트와 간결한 텍스트를 포함해 제출할 것을 요구했고 리눅스 커널 프로젝트는 이에 따른 처리 원칙을 문서화했습니다. 업계 전반에서도 버그크라우드는 3주 만에 접수 보고량이 4배 이상 증가했고 컬과 넥스트클라우드가 버그 바운티를 중단했으며 해커원 등은 AI 기반 자동 검증으로 선별하고 있으나 실제 유효 취약점 비율은 낮아 해커원은 약 25% 수준이라고 설명했습니다.