전 세계 웹 브라우저와 대규모 스트리밍 인프라의 핵심인 미디어 처리 라이브러리 FFmpeg에서 무려 21개의 제로데이 취약점이 발견되어 충격을 주고 있습니다. 이는 보안 스타트업 Depthfirst의 자율 보안 에이전트가 약 150만 줄에 달하는 FFmpeg의 C 코드베이스를 분석하여 찾아낸 것으로, 일부 취약점은 20년 이상 잠재되어 있던 것으로 확인되었습니다. 이 에이전트는 Anthropic의 Mythos 모델을 사용한 기존 분석 비용의 10% 수준인 약 1천 달러의 비용으로 이 성과를 달성했습니다.
발견된 취약점들은 TS 디멀티플렉서(demuxer), VP9 디코더(decoder), RTP/RTSP/RTMP 처리 경로 등 FFmpeg의 여러 핵심 구성 요소에 걸쳐 있습니다. 특히 주목할 만한 것은 AV1 RTP 디패키타이저(depacketizer)의 힙 버퍼 오버플로(heap buffer overflow) 취약점입니다. 공격자는 단 183바이트의 RTP 패킷만으로 함수 포인터를 덮어쓸 수 있으며, 피해자가 'ffmpeg -i rtsp://attacker/stream' 명령을 실행하는 것만으로 원격 코드 실행(RCE)에 이를 수 있습니다. 이는 제로클릭 공격의 주요 표적이 될 수 있음을 의미하며, 미디어 스트리밍을 사용하는 모든 시스템에 심각한 위협이 될 수 있습니다.
이번 발견은 AI 기반 보안 에이전트의 놀라운 역량을 보여줍니다. 기존의 퍼징(fuzzing)이나 수동 감사로는 발견하기 어려웠던 깊숙한 취약점들을 에이전트가 찾아냈다는 점에서 의미가 큽니다. Depthfirst의 보안 에이전트는 단순히 코드의 이론적인 결함을 보고하는 것을 넘어, 실제 재현 가능한 입력과 실행 확인까지 거쳐 실질적인 보안 검증을 수행했습니다. 이는 대규모 코드베이스에서 숨겨진 취약점을 발굴하고, 잠재적인 위협을 선제적으로 제거하는 데 AI 에이전트가 핵심적인 역할을 할 수 있음을 시사합니다. 앞으로 소프트웨어 보안 분야에서 AI 에이전트의 활용이 더욱 확대될 것으로 예상됩니다.