목차
구글, AI로 26개 이상의 코드 취약점 발견
구글이 인공지능(AI)을 활용해 사람이 놓친 소프트웨어(SW) 오류를 탐지하는 데 성공했습니다. 구글은 OSS-퍼즈(Fuzz) 프로젝트를 통해 26개의 보안 취약점을 발견해 이를 오픈소스 프로젝트 유지 관리자에게 보고했다고 23일 발표했습니다.
새롭게 발견된 취약점의 의미
이번에 발견된 취약점은 모두 기존에 탐지되지 않았던 문제들입니다. 특히 일부 취약점은 오픈SSL 라이브러리에 치명적인 악영향을 미칠 수 있어 큰 주목을 받았습니다. 대표적인 사례로 CVE-2024-9143이 있습니다.
OSS-퍼즈 프로젝트와 퍼징 기술
OSS-퍼즈는 취약점 탐사 기술인 퍼징(fuzzing)에 대규모언어모델(LLM)을 결합한 프로젝트입니다. 퍼징은 소프트웨어에 예상치 못한 데이터를 주입해 오류나 취약점을 탐지하는 기술로, OSS-퍼즈는 이 과정의 초기 단계를 자동화해 탐지 속도와 정확성을 모두 높였습니다.
또한, AI 기술은 기존 퍼징 도구가 한정된 입력 데이터로만 탐지할 수 있었던 한계를 극복합니다. 비정형적이고 다양한 데이터를 생성해 더 많은 취약점을 탐지할 수 있을 뿐만 아니라, 탐지된 취약점을 분석하고 수정 패치를 제안하는 역할까지 수행합니다.
SW 안정성 향상을 위한 구글의 노력
구글은 OSS-퍼즈를 지속해서 개선할 계획입니다. 프로젝트를 색인화하는 인프라를 구축해 더 정교하게 텍스트를 분석하고 문맥을 이해할 수 있도록 할 예정입니다. 또한, 퍼징의 전체 워크플로를 자동화하기 위한 작업도 진행 중입니다.
구글 오픈소스 보안팀의 올리버 창은 "우리의 목표는 소프트웨어 취약점을 발견하는 전체 과정을 완전히 자동화하는 것"이라며 "다양한 연구자들과 협력하여 이를 실현하고 곧 결과를 공유하기를 기대한다"고 밝혔습니다.
미래의 소프트웨어 보안을 위한 AI의 역할
AI 기술은 소프트웨어 보안의 새로운 지평을 열고 있습니다. 구글의 OSS-퍼즈 프로젝트는 SW 안정성 향상과 보안 강화에 중요한 이정표가 될 것입니다. 앞으로 더 많은 성과와 발전이 기대됩니다.
