인공지능(AI) 기술의 발전이 오픈소스 소프트웨어(OSS) 보안 환경을 근본적으로 변화시키고 있습니다. 과거 전문가가 몇 주에 걸쳐 발견하던 심각한 취약점을 이제 AI 모델이 단 몇 분 만에 찾아내면서, 오픈소스 유지관리자(maintainer)의 대응 속도가 이를 따라가지 못하는 상황에 직면했습니다. 이러한 위협에 공동 대응하기 위해 아마존 웹 서비스(AWS), 앤트로픽(Anthropic), 구글(Google), 마이크로소프트(Microsoft) 등 주요 IT 기업들이 '아크리테스(Akrites)'라는 산업 협력체를 출범했습니다.
아크리테스는 핵심 오픈소스 소프트웨어의 취약점 발견, 수정, 그리고 책임 있는 공개를 위한 공동 시스템과 도구를 배포하는 것을 목표로 합니다. 기존에는 여러 조직이 개별적으로 취약점을 보고하며 중복되거나 충돌하는 패치가 발생하는 등 비효율이 심했습니다. 아크리테스는 이러한 문제를 해결하기 위해 기밀 조율 지점과 전담 보안 사고 대응팀(Security Incident Response Team)을 제공하여 유지관리자에게 예측 가능한 단일 파트너 역할을 수행합니다. 또한, 유지관리자가 없는 핵심 패키지에 대해서는 마지막 수단으로서 직접 유지관리자 역할을 맡아 적시에 수정이 이루어지도록 지원할 계획입니다.
아크리테스는 패치 공개 자체보다 실제 시스템에 패치가 배포되는 것을 성공 기준으로 삼고 있습니다. 패치가 공개된 후 공격자들이 AI를 이용해 취약점을 빠르게 역공학하여 악용할 수 있기 때문입니다. 따라서 핵심 인프라 소유자 및 운영자, 시민사회, 정부와의 협력을 통해 패치 배포 속도를 높이는 데 주력할 예정입니다. 참여 기업들은 엔지니어링 인력, 보안 전문성, 자금, AI 기술을 투입하여 공유 소프트웨어의 보안을 강화하겠다고 약속하며, 이는 AI 시대에 필수적인 오픈소스 생태계의 신뢰를 유지하는 데 중요한 역할을 할 것으로 기대됩니다.