23년 묵은 리눅스 커널 버그, AI가 찾아냈습니다

리눅스 커널은 전 세계에서 가장 많은 눈이 감시하는 오픈소스 프로젝트입니다. 수천 명의 개발자가 매일 코드를 들여다보고, 수만 건의 패치가 리뷰를 거칩니다. 그런데 그 촘촘한 그물망을 23년간 빠져나온 보안 취약점이 있었습니다. 그리고 그걸 찾아낸 건 사람이 아니라 AI 코딩 에이전트였습니다.

무엇이 발견됐나

Anthropic의 AI 코딩 에이전트 Claude Code가 리눅스 커널 코드를 분석하던 중 2003년경 도입된 코드에서 보안 취약점을 식별했습니다. 해당 버그는 CVE 번호를 부여받았고, 커널 보안 팀의 검증을 거쳐 실제 취약점으로 확인됐습니다.

23년이라는 시간은 리눅스 커널 역사의 거의 절반에 해당합니다. 그 사이 커널은 수십 번의 메이저 버전 업그레이드를 거쳤고, 코드 리뷰 프로세스도 계속 강화돼 왔습니다. 그런데도 이 버그는 살아남았습니다.

왜 사람은 못 찾았을까

리눅스 커널의 코드베이스는 3천만 줄이 넘습니다. 아무리 뛰어난 개발자라도 전체를 한 번에 파악하는 건 불가능합니다. 특히 오래된 코드일수록 “이미 검증됐다"는 암묵적 신뢰가 작동합니다. 수년간 문제없이 돌아갔으니 괜찮겠지, 하는 거죠.

인간 리뷰어는 주로 새로 들어오는 패치에 집중합니다. 기존 코드를 처음부터 다시 읽는 일은 드뭅니다. 게다가 보안 취약점 중에는 코드 한두 줄만 봐서는 파악이 어렵고, 여러 함수와 모듈 간의 상호작용을 통째로 이해해야 보이는 것들이 있습니다. 바로 이 지점에서 AI의 접근 방식이 차이를 만듭니다.

AI는 어떻게 잡았나

AI 코딩 에이전트의 강점은 크게 세 가지입니다.

첫째, 피로하지 않습니다. 3천만 줄을 분석하라고 하면 3천만 줄을 봅니다. 지루해하거나 대충 넘기지 않습니다.

둘째, 편견이 없습니다. “이 코드는 오래됐으니까 안전할 거야"라는 가정을 하지 않습니다. 2003년 코드든 2026년 코드든 동일한 기준으로 검사합니다.

셋째, 패턴 인식 범위가 넓습니다. 알려진 취약점 패턴 수만 가지를 동시에 대조할 수 있습니다. 버퍼 오버플로우, 경쟁 조건, 권한 상승 가능성 등을 코드 문맥 안에서 종합적으로 판단합니다.

물론 AI가 만능은 아닙니다. 오탐(false positive)도 발생하고, 복잡한 비즈니스 로직의 의도를 완전히 이해하지 못할 때도 있습니다. 하지만 이번 사례는 AI가 인간 리뷰의 사각지대를 효과적으로 보완할 수 있다는 걸 실증한 셈입니다.

보안 업계에 던지는 메시지

이 사건이 중요한 이유는 단순히 “AI가 버그를 찾았다"를 넘어섭니다. 핵심은 레거시 코드의 보안 부채 문제입니다.

리눅스 커널만의 이야기가 아닙니다. 전 세계 인프라를 떠받치는 오픈소스 프로젝트 대부분이 수십 년 된 코드를 품고 있습니다. OpenSSL, glibc, Apache 같은 프로젝트들도 마찬가지입니다. 이 코드들을 사람이 전수 점검하는 건 현실적으로 불가능에 가깝습니다.

AI 코드 감사가 보편화되면, 지금까지 발견되지 않았던 취약점들이 대거 수면 위로 올라올 가능성이 있습니다. 보안 팀 입장에서는 반가우면서도 부담스러운 시나리오입니다. 발견은 AI가 해주지만, 패치와 배포는 여전히 사람의 몫이니까요.

인간과 AI의 코드 리뷰, 경쟁이 아니라 협업

이번 발견을 두고 “AI가 인간 개발자보다 낫다"는 식의 해석은 적절하지 않습니다. 더 정확한 프레임은 이겁니다. 인간은 설계와 의도를 잘 판단하고, AI는 패턴과 범위에서 강합니다.

실제로 이 취약점은 AI가 후보를 찾아내고, 커널 보안 전문가가 검증하는 과정을 거쳤습니다. AI 혼자 CVE를 발행한 게 아닙니다. 발견은 기계가, 판단은 사람이 한 겁니다. 이 협업 모델이 앞으로 보안 감사의 표준이 될 가능성이 높습니다.

23년간 수천 명의 눈을 피한 버그를 AI가 찾아냈다는 사실은, 우리가 “충분히 검증됐다"고 믿어온 코드에 대해 다시 생각하게 만듭니다. 여러분이 관리하는 코드베이스에는 몇 년 묵은 버그가 숨어 있을까요.