AI 슬롭에 질렸던 curl 메인테이너가 '진짜'를 만났다 — Mythos가 찾은 취약점

curl 메인테이너 Daniel Stenberg는 그동안 AI가 만든 가짜 보안 리포트의 최대 피해자였습니다. HackerOne으로 쏟아지는 그럴듯하지만 실체 없는 “취약점” 제보에 그는 공개적으로 분노해왔는데요. 그런 그가 최근 한 AI 도구를 두고 “이건 진짜다"라고 인정했습니다. 그 주인공이 바로 Mythos입니다.

“AI 슬롭” 전쟁의 한복판에 있던 사람

Stenberg는 작년부터 줄곧 한 가지 메시지를 외쳐왔습니다. AI가 만들어낸 보안 리포트의 99%는 쓰레기라는 것이죠. 그는 자신의 블로그에서 “우리는 AI 슬롭에 익사하고 있다"고 표현했을 정도입니다.

문제의 본질은 정보 비대칭입니다. AI는 그럴듯한 영어로 “이게 취약점이다"라고 자신 있게 주장하는 리포트를 30초 만에 만들어냅니다. 하지만 그걸 검증하는 메인테이너는 한 명, 시간은 몇 시간씩 걸립니다. 공격자는 자동화돼 있고, 방어자는 사람이라는 비대칭이죠.

curl 프로젝트는 HackerOne에서 가장 활발한 오픈소스 버그 바운티 중 하나인데, 이 시스템이 AI 생성 리포트로 마비될 위기에 처해 있었습니다. Stenberg는 결국 “AI 사용 여부를 공개하지 않으면 리포트를 즉시 닫겠다"는 강수까지 둬야 했습니다.

Mythos는 무엇이 달랐나

그런 Stenberg가 Mythos를 칭찬한 건 단순한 사건이 아닙니다. Mythos는 오픈소스 코드베이스에서 실제 취약점을 자동으로 발견하는 AI 보안 도구인데요. 단순히 “여기 문제가 있을 수도 있다"가 아니라, 재현 가능한 PoC(Proof of Concept)까지 함께 제출했다는 점이 결정적이었습니다.

curl처럼 수십 년간 수많은 보안 연구자가 훑고 지나간 코드베이스에서 새로운 진짜 취약점을 찾아냈다는 사실 자체가 화제입니다. curl은 전 세계 수십억 대의 기기에서 돌아가는 라이브러리니까요. 자동차, 위성, 게임 콘솔, 거의 모든 리눅스 서버에 들어가 있습니다.

가짜와 진짜를 가르는 한 끗

그동안의 AI 슬롭과 Mythos의 차이는 어디서 왔을까요. 핵심은 “검증 가능성"입니다.

기존 AI 도구들은 LLM에게 코드를 던져주고 “취약점을 찾아봐"라고 시키는 수준이었습니다. LLM은 패턴 매칭에 능하니까 “여기 strcpy 쓰네? 버퍼 오버플로 가능성"이라고 자신만만하게 출력합니다. 하지만 실제로 그 코드 경로가 호출 가능한지, 어떤 입력이 도달하는지는 확인하지 않죠.

Mythos는 정적 분석 + 동적 실행 + LLM 추론을 결합한 파이프라인으로 알려져 있습니다. AI가 후보를 추리면, 시스템이 직접 익스플로잇을 만들어 검증합니다. “이 입력을 넣으면 이런 결과가 나온다"까지 보여주니 메인테이너 입장에서는 검증 시간이 획기적으로 줄어듭니다.

보안 업계에 던지는 신호

Stenberg가 한 사람을 인정한 사건 하나로 호들갑인가 싶을 수도 있습니다. 하지만 그가 누구인지 생각하면 이야기가 달라집니다. AI 보안 도구에 가장 회의적이고, 가장 큰 피해를 본 사람이 “이건 진짜다"라고 말한 겁니다. 보안 업계에서 이만한 신뢰 시그널은 흔치 않습니다.

지난 1년간 AI 보안 스타트업이 우후죽순 등장했지만, 대부분이 “LLM에 코드 넣고 돌렸어요” 수준이었습니다. 투자자도 점점 회의적으로 변하고 있었죠. 이 와중에 Mythos의 사례는 “제대로 만든 AI 보안 도구는 진짜로 작동한다”는 증명입니다.

메인테이너가 살아남는 길

흥미로운 건 이게 단순히 “AI가 사람을 대체한다"는 이야기가 아니라는 점입니다. Stenberg가 Mythos를 환영한 이유는, 그것이 메인테이너의 부담을 늘리지 않고 줄여주기 때문입니다. PoC와 함께 오는 리포트는 검증이 빠르고, 가짜 리포트와 구별이 쉽습니다.

오픈소스 메인테이너의 번아웃은 보안 생태계 전체의 위협입니다. log4j 사건이 그랬듯, 핵심 라이브러리 한 명이 무너지면 인터넷 전체가 흔들리니까요. 좋은 AI 도구는 메인테이너를 대체하는 게 아니라, 그들이 진짜 일에 집중할 수 있게 해주는 방향이어야 합니다.

AI 보안 도구가 “진짜인지 아닌지"는 더 이상 마케팅 자료로 판단할 수 없는 시대입니다. 실제 메인테이너들이 어떻게 반응하는지, 그들이 시간을 아꼈는지를 봐야 하는데요. Mythos의 curl 사례는 그 첫 번째 명확한 증거 같습니다. 여러분은 AI가 만든 버그 리포트, 받아본 적 있으신가요? 그게 진짜였나요, 슬롭이었나요?