AI로 강화된 구글의 OSS-Fuzz: 오픈소스 보안 혁신의 다음 단계

안녕하세요, 여러분!

 

오늘은 구글이 개발한 AI 기반의 보안 도구, OSS-Fuzz에 대해 이야기해볼까 합니다. 구글의 이 멋진 도구가 오픈소스 프로젝트에서 무려 26개의 취약점을 발견했다고 하는데요, 이는 단순한 성과 이상의 큰 의미를 지니고 있습니다.

AI가 발견한 26개의 오픈소스 취약점

 

OSS-Fuzz는 최근 AI 기술을 활용하여 다양한 오픈소스 코드 저장소에서 26개의 취약점을 발견했습니다. 특히, OpenSSL의 암호화 라이브러리에서 중간 정도의 심각도를 가진 취약점 CVE-2024-9143이 발견되었는데, 이는 메모리 버그로 인해 어플리케이션 충돌이나 원격 코드 실행을 초래할 수 있는 문제였습니다. 이러한 문제를 해결하기 위해 OpenSSL 여러 버전에서 패치가 이루어졌습니다.

AI 기반 퍼징 강화의 중요성

 

구글은 2023년 8월부터 대규모 언어 모델(LLM)을 사용하여 퍼징(Fuzzing) 커버리지를 향상시키고 있습니다. 이로 인해 272개의 C/C++ 프로젝트에서 코드 커버리지가 개선되어 무려 37만 줄 이상의 새로운 코드가 추가되었죠. AI가 개발자의 퍼징 워크플로우를 대신하여 더 많은 자동화를 가능케 하면서, 숨겨진 버그들을 효과적으로 찾아내고 있습니다.

AI로 더욱 깊어진 코드 분석

 

이번 취약점 발견은 OSS-Fuzz의 AI가 기존의 퍼징 타겟으로는 발견할 수 없던 문제들을 찾아냈기 때문에 가능한 일이었습니다. AI를 통한 코드 커버리지는 모든 기능이 버그로부터 자유롭다는 보장을 제공하지 않지만, 다양한 플래그와 설정이 서로 다른 동작을 유발할 수 있다는 점에서 더 다양한 코드 경로와 상태를 측정할 수 있습니다. 

구글의 메모리 안전성 강화 노력

 

구글은 또한 Rust와 같은 메모리 안전 언어로의 전환을 추진하며, 기존 C++ 프로젝트에서도 공간 메모리 안전성을 강화하기 위한 메커니즘을 적용하고 있습니다. Safe Buffers로의 마이그레이션과 하드닝된 libc++ 사용을 통한 버그 제거 노력이 이뤄지고 있으며, 이는 C++ 데이터 구조에 경계 검사 기능을 추가하여 공간 안전성 문제를 제거합니다. 

 

이러한 AI 기반의 취약점 발견과 메모리 안전성 강화 노력은 우리 소프트웨어를 더욱 안전하고 신뢰할 수 있게 만들어줍니다. 계속해서 발전하는 기술이 얼마나 우리의 생활에 영향을 주고 있는지를 보면 참 흥미롭습니다. 앞으로도 많은 기대가 됩니다.

 

여러분의 생각은 어떠신가요? 댓글로 공유해 주세요!