보안 스타트업 뎁스퍼스트(depthfirst)가 전 세계적으로 가장 널리 배포된 소프트웨어 중 하나인 FFmpeg에서 21개의 제로데이(zero-day) 취약점을 발견하며 AI 기반 보안 분석의 놀라운 성과를 입증했습니다. 이 취약점들은 구글(Google)의 빅 슬립(Big Sleep) 팀과 앤트로픽(Anthropic)의 미토스(Mythos) 모델이 FFmpeg를 분석한 후에도 발견되지 않았던 것으로, 일부는 무려 15~20년 동안 잠재되어 있었습니다. 뎁스퍼스트의 자율 보안 에이전트는 이론적 분석을 넘어 실제 재현 가능한 개념 증명(PoC) 입력을 생성하여 발견된 취약점들을 확인했으며, 이는 기존 방식 대비 훨씬 적은 비용(1만 달러 대비 1천 달러)으로 이루어졌습니다.
FFmpeg는 웹 브라우저부터 대형 스트리밍 플랫폼에 이르기까지 일상생활의 거의 모든 미디어 처리 인프라에 조용히 사용되고 있습니다. 수백 가지의 복잡한 미디어 형식을 파싱(parsing)하는 라이브러리 특성상 보안에 매우 중요하며, 클릭 한 번 없이도 공격이 가능한 제로 클릭(zero-click) 공격의 주요 목표가 됩니다. 뎁스퍼스트의 보안 에이전트는 코드베이스를 위협 모델링(threat modeling)하고, 노출된 파서(parser)와 프로토콜 핸들러(protocol handler)를 식별하며, 공격자 제어 입력이 시스템에 유입될 수 있는 경로를 매핑하는 방식으로 작동합니다. 특히, 이 에이전트는 단순히 버그를 보고하는 것을 넘어, 취약점의 정확한 위치와 이를 재현할 수 있는 구체적인 입력값을 자동으로 생성하여 모든 발견이 실제 공격 가능하며 실행 가능함을 보장합니다. 발견된 21개의 제로데이 중 8개는 이미 CVE(Common Vulnerabilities and Exposures) 번호가 할당되었으며, TS 디먹서(demuxer)의 힙 버퍼 오버플로(heap buffer overflow), VP9 디코더(decoder)의 힙 버퍼 오버플로 등 다양한 유형의 취약점을 포함하고 있습니다.
이번 뎁스퍼스트의 성과는 AI가 복잡하고 견고하게 최적화된 C 코드베이스에서 심각한 보안 취약점을 찾아내는 데 있어 인간 전문가나 기존 자동화 도구를 뛰어넘는 역량을 가질 수 있음을 보여줍니다. 특히, 오랫동안 발견되지 않았던 취약점들을 저비용으로 찾아냈다는 점은 소프트웨어 개발 및 유지보수 과정에서 AI 기반 보안 감사의 중요성이 더욱 커질 것임을 시사합니다. 이는 대규모 언어모델(LLM)을 활용한 코드 분석이 단순한 코드 생성이나 디버깅을 넘어, 시스템의 근본적인 보안 문제를 해결하는 데 핵심적인 역할을 할 수 있음을 의미하며, 앞으로 다양한 산업 분야에서 AI 보안 에이전트의 활용이 확대될 것으로 예상됩니다. 개발자들은 AI의 도움을 받아 잠재적 위협을 사전에 제거하고, 사용자들은 더욱 안전한 디지털 환경을 기대할 수 있게 될 것입니다.