공격과 방어 속도의 비대칭 해결 필요...보안, 사후 점검이 아닌 ‘실시간 기술적 보증’으로 전환돼야
[보안뉴스= 최윤성 고려대학교 정보보호학과 교수] 최근 보안 업계에서 ‘오픈소스’를 바라보는 시선이 변하고 있다. 지난 수십 년간 IT 생태계의 민주화와 혁신을 이끈 공공재(Public Good)였던 오픈소스가 이제는 AI 에이전트가 자동화된 속도로 파고드는 ‘가장 낮은 방어선’이자 ‘공격의 통로’가 되고 있기 때문이다.

[출처: 생성형 AI 활용 이미지]
특히 최근 앤스로픽의 ‘미토스(Mythos)’와 같은 고성능 AI 모델이 오픈소스 프로젝트 내의 고위험 취약점을 초 단위로 탐지하는 상황은 기술적 경종이다. 과거에는 인간 연구자가 수개월에 걸쳐 찾던 취약점이 AI에 의해 ‘무차별 탐색’되고 있으며, 트리비(Trivy) 같은 대중적인 오픈소스 보안 도구조차 고도화된 AI 공격 앞에서는 무력화되거나 탐지에 한계를 보이고 있다. 또, LiteLLM과 같이 거대언어모델(LLM) 연동을 지원하는 핵심 오픈소스 라이브러리에서 발생하는 보안 결함은 전체 AI 애플리케이션의 공급망을 즉각 마비시킬 수 있는 뇌관이 되고 있다.
오픈AI가 최근 ‘GPT-5.5-Cyber’와 ‘코덱스 시큐리티’(Codex Security)를 통해 오픈소스 프로젝트의 취약점 탐지·패치 자동화에 나선 것 또한 이러한 위협의 실체화를 방증한다. AI의 오픈소스 보안 점령은 더 이상 먼 미래의 일이 아니라 우리 시스템의 파이프라인 안에서 벌어지는 현실이다. 이는 우리에게 거대한 도전이자 생존을 위한 체질 개선의 요구다.
1. 엑셀 보안에서 ‘주권적 검증권’으로의 전환
생성형 AI와 에이전틱 AI의 등장은 사이버보안의 물리 법칙을 바꿨다. 공격자는 기계의 속도로 쏟아지는 자율 루프를 사용하는데 방어는 여전히 연례적인 엑셀 체크리스트라는 정적인 방식에 머물러 있다.
이 속도의 비대칭을 해결하기 위해 이제 보안은 사후 점검이 아닌 ‘실시간 기술적 보증’(Technical Assurance)으로 전환되어야 한다. 필자가 강조해 온 ‘AI 자재명세서’(AIBOM)와 ‘안전 통행 관문’(Safe Pass Gateway)은 단순히 규제를 준수하는 도구가 아니다. AI가 내리는 판단을 민간 산업 기반 인프라의 문턱에서 실시간으로 심사하고 인가된 정책을 벗어나면 즉시 킬 스위치를 작동시키는 ‘주권적 검증권’(Sovereign Verifier)의 핵심 아키텍처다.
2. 오픈웨이트(Open-Weight) 모델: 기술 주권의 마지막 보루
현재 빅테크가 주도하는 폐쇄형 블랙박스 모델은 우리에게 통제권을 허락하지 않는다. 내부에서 어떤 일이 벌어지는지 알 수 없는 시스템을 금융·제조 등 민간 산업 기반 인프라에 도입하는 것은 위험하다.
우리의 기술 주권을 지키는 길은 국가대표 독자 파운데이션 모델뿐만 아니라 오픈웨이트 모델에도 있다. 우리가 직접 가져와서 가중치를 분석하고 투명성을 확보하며 행위를 제어할 수 있는 온프레미스(On-premise) 기반의 모델만이 진정한 안보 자산이다. 오픈소스가 진정한 공공재로서 생존하려면 이처럼 스스로 통제하고 검증할 수 있는 생태계로 진화해야 한다.
3. 결론: ‘안전하게 열어두기(Secure Openness)’의 미학

▲최윤성 고려대 명예교수 [출처: 본인 제공]
보안은 기술을 억압하는 브레이크만 되어서는 안 된다. 그리고 우리는 그동안 오픈소스를 단순히 가져다 쓰는 ┖사용자┖ 위주의 국가였다. 이제는 전 세계 공급망의 신뢰를 우리 기술로 보증하는 ┖기여자┖로 거듭나야 한다. 투명한 오픈소스 생태계와 결합한 보안은 우리 기업들이 글로벌 규제 장벽을 넘어 세계 시장을 선점하게 만드는 가장 강력한 비즈니스 프리미엄이자 국가적 안보 인프라가 될 것이다.
이제 정부는 오픈소스 보안을 막는 대신 정보통신산업진흥원(NIPA)·한국인터넷진흥원(KISA) 등 전문 기관이 주도하여 민간 기업들이 AI 소프트웨어의 구성요소를 담은 인벤토리를 관리하고 검증할 수 있도록 지원하는 ‘오픈소스 보안 바우처’와 ‘실증 지원 프로그램’을 활성화해야 한다. 또, 사용자 기업들은 보안을 비용이 아닌 ‘미래의 수출 경쟁력’으로 인식하고 기술적 부채를 해결하는 데 과감한 투자를 단행해야 한다.
대한민국의 오픈소스 커뮤니티 또한 이 위협을 외면해서는 안 된다. 우리 커뮤니티가 중심이 되어 ‘오픈소스 보안 집단 방어 체계’를 활성화하고 전 세계 오픈소스 리더들과의 연대를 통해 한국형 보안 모델을 글로벌 표준으로 정착시켜야 한다. 무엇보다 오픈소스의 혜택을 가장 크게 누리는 대기업들이 보안 커뮤니티 활성화의 핵심 스폰서로 나서야 한다. 인재를 육성하고 기술적 이익을 공유받는 주체가 생태계의 선순환을 위해 투자하는 것은 당연한 책임이다. 정부 역시 대기업이 사용자에서 기여자로 변신할 수 있도록 조세 혜택과 같은 제도적 뒷받침을 마련해야 한다.
안전하게 열어두는 것, 그것이 AI 시대 오픈소스가 공공재로서 지켜야 할 새로운 사회적 계약이다.
필자 소개
- 고려대학교 SW·AI융합대학원 SW보안학과 교수
- 경기대학교 AI컴퓨터학부 SW안전보안전공 교수
- 대통령직속 국가인공지능전략위원회 위원 (보안특위)
- 과기정통부 ‘SW 공급망 보안 포럼’ 정책·산업 분과장
- 금융보안원 금융보안자문위원회 사이버대응 자문위원
- 차세대 보안리더 양성 프로그램(BoB) 초대 센터장
- 美 오픈소스보안재단(OpenSSF) 글로벌 앰버서더
[글_최윤성 고려대 정보보호학과 교수]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>














