무슨 일이 밝혀졌나
2026년 1월 27일, OpenSSL 프로젝트가 보안 릴리스를 통해 12개의 새로운 제로데이 취약점을 공개했습니다. 놀라운 점은 12개 전부를 AI 보안 연구 시스템 AISLE이 최초 발견했다는 사실입니다.
AISLE은 2025년 가을부터 겨울 사이에 이 취약점들을 OpenSSL 보안 팀에 보고했으며, 발견된 취약점 중 10개는 CVE-2025 식별자를, 나머지 2개는 CVE-2026 식별자를 부여받았습니다. 2025년 한 해 동안 OpenSSL에 등록된 CVE 14개 중 13개를 AISLE이 발견했고, 누적 발견 수는 총 15개에 달합니다.
Schneier on Security에 따르면, 이번 발견은 AI가 대규모 오픈소스 코드베이스에서 인간 감사자와 기존 자동화 도구가 놓친 취약점을 체계적으로 찾아낼 수 있다는 것을 보여주는 대표적 사례입니다.
가장 심각한 취약점인 CVE-2025-15467은 CMS(Cryptographic Message Syntax) 메시지 파싱 과정에서 발생하는 스택 버퍼 오버플로우로, 유효한 키 자료 없이도 원격 익스플로잇이 가능하며 CVSS 점수 9.8 CRITICAL을 받았습니다.
| 항목 | 내용 | |------|------| | 공개일 | 2026년 1월 27일 | | 발견 주체 | AISLE (AI 보안 연구 시스템) | | 취약점 수 | 12개 제로데이 | | 최고 심각도 | CVE-2025-15467, CVSS 9.8 CRITICAL | | 발견 기간 | 2025년 가을 ~ 겨울 |
AISLE은 어떻게 찾았나
AISLE의 접근 방식이 주목받는 이유는 단순한 퍼징(fuzzing)이나 패턴 매칭을 넘어서기 때문입니다.
전통적인 보안 감사 도구는 알려진 취약점 패턴을 코드에서 검색하는 방식으로 작동합니다. 이 방식은 이미 알려진 유형의 버그를 찾는 데는 효과적이지만, 코드의 논리적 맥락을 이해하지 못합니다. AISLE은 코드의 의미와 의도를 분석하여 "이 코드가 의도한 대로 작동하는가"를 검증하는 방식으로 접근합니다.
LessWrong의 분석에 따르면, AISLE은 다음과 같은 단계로 작동합니다.
- 코드 의미 분석 — 함수의 목적과 입출력 관계를 이해하고, 개발자의 의도와 실제 구현 사이의 차이를 탐색합니다
- 경계 조건 추론 — 입력값의 극단적 경우(edge case)를 체계적으로 생성하여 메모리 안전성을 검증합니다
- 역사적 맥락 활용 — 코드의 변경 이력과 의존 관계를 분석하여 레거시 코드에 숨은 위험을 식별합니다
흥미로운 대조점은 curl 프로젝트의 사례입니다. curl 개발자들은 AI 보안 감사 프로그램을 취소했는데, AI 도구가 생성하는 오탐(false positive)이 너무 많아 오히려 개발 효율을 떨어뜨렸기 때문입니다. AISLE은 이와 달리 높은 정확도로 실제 취약점만을 보고하여 신뢰를 얻었습니다.
27년 된 버그의 의미
이번 발견에서 가장 인상적인 부분은 1998~2000년부터 존재하던 버그 3개를 찾아냈다는 것입니다. 이 중 하나는 OpenSSL의 전신인 Eric Young의 SSLeay 구현에서 상속된 것으로, OpenSSL이 SSLeay 코드를 기반으로 만들어진 1998년부터 숨어 있었습니다.
이것이 의미하는 바는 분명합니다. 27년 동안 수많은 보안 연구자, 자동화 도구, 코드 리뷰가 이 코드를 검토했지만 아무도 발견하지 못했습니다. OpenSSL은 세계에서 가장 많이 검토되는 오픈소스 프로젝트 중 하나입니다. 2014년 Heartbleed 사태 이후로는 특히 집중적인 감사를 받아왔습니다.
이는 레거시 코드에 대한 우리의 가정을 재검토해야 한다는 신호입니다. "오래된 코드는 충분히 검증되었다"는 믿음이 위험할 수 있습니다. 코드가 오래될수록 원래의 맥락을 이해하는 사람이 줄어들고, 새로운 관점에서 검토될 기회도 줄어듭니다.
Aviatrix의 분석에 따르면, 현대 소프트웨어 스택에서 레거시 코드가 차지하는 비중은 평균 60% 이상이며, 이 영역이 AI 보안 감사의 가장 큰 잠재적 가치를 지닌 영역입니다.
AI 보안 연구의 미래
AISLE의 성과는 방어 AI의 가능성을 구체적으로 보여줍니다. AI가 공격에 활용되는 사례는 이미 많지만, 방어 측에서도 AI가 실질적인 성과를 내고 있다는 점이 중요합니다.
방어 AI의 현재 성과
| AI 시스템 | 발견 취약점 | 주요 대상 | |-----------|-----------|----------| | AISLE | OpenSSL CVE 15개 (누적) | OpenSSL | | Google Big Sleep | SQLite, Linux 커널 취약점 | 다양한 OSS | | Trend Micro AESIR | 21개 Critical CVE | NVIDIA, Tencent, MLflow |
소프트웨어 개발자에게
- 레거시 코드 감사 — 오래된 코드일수록 AI 도구를 활용한 재검토가 필요합니다. "잘 작동하니까 괜찮다"는 가정을 버려야 합니다
- CI/CD 통합 — Semgrep AI, CodeQL 같은 AI 기반 분석 도구를 개발 파이프라인에 포함하면 배포 전에 취약점을 잡을 수 있습니다
- 메모리 안전 언어 검토 — C/C++ 코드베이스에서 발견되는 취약점의 상당수는 메모리 안전성 문제입니다. Rust 같은 언어로의 점진적 전환이 근본적 해결책입니다
보안 관리자에게
- OpenSSL 즉시 업데이트 — 2026년 1월 27일 릴리스에 12개 패치가 포함되어 있습니다. 특히 CVE-2025-15467은 CVSS 9.8로 즉각 대응이 필요합니다
- 의존성 감사 확대 — 직접 사용하는 라이브러리뿐 아니라, 의존성 체인 깊숙이 포함된 레거시 라이브러리도 점검 대상입니다
- AI 보안 도구 파일럿 — curl의 실패 사례에서 보듯, 모든 AI 도구가 동일한 성능을 보이지는 않습니다. 실제 코드베이스로 파일럿 테스트를 거쳐 적합한 도구를 선별해야 합니다
일반 사용자에게
- 소프트웨어 자동 업데이트를 켜두세요 — OpenSSL은 웹 브라우저, VPN, 메신저 등 수많은 소프트웨어에 내장되어 있습니다. 자동 업데이트가 가장 확실한 보호입니다
- HTTPS 연결 확인 — 민감한 정보를 입력할 때 브라우저 주소창의 자물쇠 아이콘을 확인하는 습관을 유지하세요
참고 자료
- Schneier on Security, "AI Finds 12 Zero-Days in OpenSSL" (2026)
- LessWrong, "AISLE: AI Security Audit Analysis" (2025)
- AISLE Blog, "OpenSSL Vulnerability Disclosure" (2026)
- HackingPassion, "AI-Powered Vulnerability Research in 2026"