Molayo

© 2026 Molayo

Tom's Hardware헤드라인2026. 05. 18. 23:24

Linus Torvalds, AI 생성 중복 취약점 보고로 인한 Linux 보안 메일링 리스트 관리 불가능 문제 지적

요약

Linus Torvalds는 AI 도구를 사용한 연구자들이 동일한 취약점을 중복 보고하면서 Linux 커널의 비공개 보안 메일링 리스트가 관리 불가능한 수준에 도달했다고 지적했습니다. 이에 따라 AI로 발견된 버그는 비공개 리스트 대신 공개 채널을 통해 제출해야 하며, 기여자는 단순 보고를 넘어 직접 패치를 작성하는 등 실질적인 가치를 더해야 한다고 강조했습니다.

핵심 포인트

  • AI 도구 사용으로 인한 중복 취약점 보고 급증이 커널 메인테이너의 업무 부하를 가중시킴
  • AI가 탐지한 버그는 비공개 리스트가 아닌 공개 공개(public disclosures) 방식으로 처리 권장
  • AI 기여 시 투명성을 위해 'Assisted-by' 태그 사용 의무화 및 인간 기여자의 법적 책임 명시
  • 단순 보고(drive-by)가 아닌 검증된 재현 코드와 패치를 포함한 질 높은 기여 촉구

Linus Torvalds는 일요일 Linux Kernel Mailing List (LKML)에 올린 주간 게시물을 통해, 동일한 코드에 대해 동일한 AI 도구를 사용하는 연구자들이 생성한 중복 취약점 보고서의 범람으로 인해 Linux 커널의 비공개 보안 메일링 리스트가 "거의 완전히 관리 불가능한(almost entirely unmanageable)" 상태라고 선언했습니다. 이러한 불만은 Linux 7.1-rc4의 출시와 함께 AI 지원 버그 보고(AI-assisted bug reports)를 어떻게 처리해야 하는지 공식화한 새로 병합된 문서에 대한 안내와 함께 제기되었습니다.

Torvalds에 따르면, 문제는 보고량과 중복성의 결합입니다. 여러 연구자가 자동화된 도구를 사용하여 독립적으로 동일한 버그를 발견하고, 이미 무엇이 제출되었는지 아무도 볼 수 없는 비공개 메일링 리스트에 이를 별도로 제출하고 있습니다. 이로 인해 메인테이너(Maintainer)들은 중복된 보고를 분류(triage)하고, 보고자들에게 이미 몇 주 전에 병합된 수정 사항을 안내하는 데 시간을 허비하게 됩니다.

Torvalds는 LKML에 "AI가 탐지한 버그는 정의상 거의 비밀이 아니며, 이를 비공개 리스트에서 처리하는 것은 관련된 모든 이들에게 시간 낭비입니다"라고 작성했습니다.

Torvalds는 개발자들에게 프로젝트의 보안 버그 문서(security bug documentation)를 참조하도록 안내했습니다. 해당 문서에는 AI 도구를 사용하여 발견된 취약점은 공개 공개(public disclosures)로 취급되어야 하며, 비공개 보안 리스트를 거치지 않고 관련 메인테이너에게 직접 제출되어야 한다고 명시되어 있습니다. 보고서는 간결해야 하며, 일반 텍스트(plain text) 형식으로 작성되어야 하고, 검증된 재현 코드(reproducer)를 포함해야 합니다.

지난 3월, HAProxy의 제작자이자 오랜 기간 Linux 커널 스테이블 메인테이너(stable maintainer)로 활동해 온 Willy Tarreau는 LWN에 게시한 의견에서, 2년 전에는 주당 약 23개의 보고를 받던 커널 보안 메일링 리스트가 현재는 하루에 510개의 보고를 받고 있다고 밝혔습니다. 대부분은 확실한 발견이지만, 유사한 도구를 사용하는 연구자들 사이의 중복 발생이 기존의 분류(triage) 프로세스를 압도하고 있습니다.

Torvalds는 연구자들이 단순히 가공되지 않은 발견 사항을 제출하는 것 이상의 노력을 기울일 것을 촉구했습니다. 그는 "만약 실제로 가치를 더하고 싶다면, 문서를 읽고, 패치 (patch)도 직접 만들어서, AI가 수행한 작업 위에 실질적인 가치를 더하십시오"라고 적었습니다. 또한 "실질적인 이해 없이 무작위로 보고서만 보내는 '드라이브 바이 (drive-by)' 식의 사람이 되지 마십시오"라고 덧붙였습니다.

이러한 Torvalds가 지지하는 방식은 동료 메인테이너 (maintainer)인 Greg Kroah-Hartman이 Framework Desktop 기반의 버그 탐지 도구인 'Clanker T1000' 시스템을 통해 실천해 온 방식과 정확히 일치합니다. 즉, 문제를 발견하고, 수정 사항을 작성하며, 패치에 대한 책임을 지고, 이를 공개적으로 제출하는 것입니다.

Tom's Hardware의 최신 뉴스 및 심층 리뷰를 이메일로 직접 받아보세요.

Linux 커널 프로젝트는 지난달 AI 지원 기여 (AI-assisted contributions)에 대한 광범위한 입장을 공식화했으며, 개발자가 엄격한 공개 규칙을 준수하는 조건으로 AI가 생성한 코드를 허용하는 프로젝트 전반의 정책을 수립했습니다.

해당 정책에 따라, AI 에이전트 (AI agents)는 법적 구속력이 있는 "Signed-off-by" 태그를 사용할 수 없으며, 기여자는 투명성을 위해 새로운 "Assisted-by" 태그를 사용해야 합니다. AI가 생성한 코드의 모든 줄과 그로 인해 발생하는 모든 버그에 대한 법적 책임은 이를 제출하는 인간에게 있습니다.

Tom's Hardware를 Google 뉴스에서 팔로우하거나 즐겨찾기 소스로 추가하여 최신 뉴스, 분석 및 리뷰를 피드에서 받아보세요.

Luke James는 프리랜서 작가이자 저널리스트입니다. 법률 분야의 배경을 가지고 있지만, 기술 전반, 특히 하드웨어와 마이크로일렉트로닉스 (microelectronics), 그리고 규제 관련 모든 분야에 개인적인 관심을 가지고 있습니다.

AI 자동 생성 콘텐츠

본 콘텐츠는 Tom's Hardware의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.

원문 바로가기
0

댓글

0