[보안뉴스 김형근 기자] 리눅스 시스템 설계자 리누스 토발즈(Linus Torvalds)는 인공지능(AI)으로 자동 생성된 보안 결함 신고가 폭주하면서 리눅스 보안 메일링 리스트가 거의 관리 불가능한 마비 상태에 직면했다고 경고했다.

토발즈는 리눅스 7.1-rc4 출시 발표를 통해, 동일한 AI 자동화 도구를 구동한 다수의 연구자가 같은 결함을 중복 신고하는 사태가 속출, 시스템이 과부하됐음을 지적했다.


[자료: gettyimagesbank]

리눅스 커널 유지 관리자들이 정밀하게 새 코드를 짜는 대신, 이미 수일 또는 수개월 전에 수정 완료된 중복 신고들에 일일이 답장을 보내거나 분류하는 데 귀중한 개발 시간과 검토 역량을 낭비하고 있다.

토발즈는 자동화 도구나 AI가 찾아낸 버그는 구조적 특성상 비밀이 될 수 없으므로, 이를 비공개 처리해야 하는 민감한 제로데이 취약점으로 취급해서는 안 된다는 점을 분명히 했다.

그는 오히려 이러한 AI 탐지 결함들을 비공개 메일링 리스트로 접수하는 관행이 연구자들 간의 중복 확인을 차단해 커뮤니티의 업무 혼선을 부추기고 과부하를 가중시킨다는 사실을 지적했다.

이에 따라 리눅스 커널 진영은 7.1 버전 정식 출시를 앞두고 실질적인 보안 취약점의 기준을 명확히 재정의했다. 아울러 AI 활용 제보의 분류 방식을 제한하는 ‘보안 버그’(security-bugs) 공식 문서를 개정해커널 표준 운영 체계에 최종 반영했다.

새로운 지침에 의하면 비공개 보안 메일링 리스트는 오직 정상적으로 구동 중인 운영 시스템에서 다수의 사용자에게 심각한 피해를 주거나 명확한 보안 격리 체계를 침범하는 긴급한 취약점 제보에만 제한된다.

AI로 탐지된 결함들은 대다수 연구자에 의해 같은 날 동시에 식별되는 경향이 있으므로 원칙적으로 전체 공개 처리되며, 제보자는 전체 익스플로잇 코드를 공개하는 대신 메인테이너 요청 때만 비공개로 전달해야 한다.

이에 따라 메인테이너들은 AI 제보 문서에 대해 일반 텍스트 포맷 사용, 추측성 시나리오 배제, 구체적이고 검증 가능한 실질적 영향력 증명 등 고도화된 품질 기준을 요구하기 시작했다.

리눅스 진영은 AI 기술 자체를 배척하는 것이 아니다. 인공지능에 무분별하게 의존한 채 결과물만 무책임하게 투척하는 ‘묻지마 식 제보’를 차단해, 자동화 도구의 순기능을 살리면서 보안 관리 체계의 마비를 막으려는 선제적 조치다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>