이 포스트는 블로그 주인장이 흥미롭다고 생각하는 주제를 AI 모델을 통해 작성을 요청한 아티클입니다.
주인장이 개인적으로 읽으려고 만든게 맞으니 참고 바랍니다!
오픈소스 멀티미디어 프레임워크 FFmpeg이 구글에 직격탄을 날렸습니다. 구글의 AI 도구가 발견한 보안 취약점을 수정하려면 자금 지원이 필요하다는 메시지를 공개적으로 전달한 것입니다. 이 사건은 대기업의 이익을 위해 운영되면서도 자원 부족에 시달리는 오픈소스 프로젝트들의 현실을 적나라하게 드러냅니다.
FFmpeg이란 무엇인가
FFmpeg은 비디오와 오디오 파일을 처리하는 오픈소스 멀티미디어 프레임워크입니다. 이 프로젝트는 다음과 같은 주요 플랫폼에서 필수적으로 사용됩니다.
- VLC, Kodi, Plex 등의 미디어 플레이어
- 구글 크롬과 파이어폭스 브라우저
- 유튜브의 비디오 처리 백엔드
- 수많은 스트리밍 서비스와 비디오 편집 도구
인터넷의 멀티미디어 처리 인프라에서 FFmpeg은 사실상 표준으로 자리잡고 있습니다. 하지만 이렇게 중요한 프로젝트가 심각한 자금 부족 상태에 놓여 있다는 것이 문제의 핵심입니다.
구글의 AI가 발견한 버그
구글의 Big Sleep이라는 AI 보안 도구가 FFmpeg에서 취약점을 발견했습니다. 구체적으로는 1995년에 출시된 게임 Rebel Assault 2의 첫 10-20 프레임에 영향을 미치는 LucasArts Smush 코덱 디코딩 관련 버그였습니다.1
FFmpeg 관리자들은 이 버그를 패치했지만, 이 발견을 “CVE 슬롭(slop)”이라고 표현하며 불만을 드러냈습니다. 30년 전 게임의 극히 일부에만 영향을 미치는 버그를 찾아내는 것이 과연 실질적인 보안 개선인지에 대한 의문을 제기한 것입니다.
Big Sleep AI의 능력과 한계
구글의 Big Sleep은 DeepMind와 Project Zero의 협업으로 개발된 AI 보안 도구입니다
Big Sleep이란
Big Sleep은 구글 DeepMind와 구글 Project Zero가 협력하여 개발한 AI 에이전트로, 보안 연구자들이 제로데이 취약점을 찾는 것을 돕습니다. 이전에는 Project Naptime이라는 이름으로 2024년 6월에 처음 소개되었습니다.
주요 성과
Big Sleep은 2024년 10월 SQLite 오픈소스 데이터베이스 엔진에서 스택 버퍼 언더플로우 취약점을 발견했습니다. 이는 AI 에이전트가 발견한 최초의 실제 취약점으로 평가받았습니다. 또한 2025년에는 위협 인텔리전스를 기반으로 공격자들만 알고 있던 SQLite 취약점(CVE-2025-6965)을 발견하여 실제 공격을 사전에 차단했습니다.
구글은 Big Sleep을 통해 FFmpeg, ImageMagick 등 널리 사용되는 오픈소스 소프트웨어에서 20개의 이전에 알려지지 않은 보안 취약점을 발견하고 보고했다고 발표했습니다.2 애플의 Safari WebKit에서도 5개의 취약점을 발견하여 크레딧을 받았습니다.
작동 방식
Big Sleep은 대형 언어 모델(LLM)의 코드 이해 및 추론 능력을 활용하여 보안 취약점을 식별하고 입증할 때 인간의 행동을 시뮬레이션합니다. 이 시스템은 다음과 같은 특수 도구들을 사용합니다.
- 대상 코드베이스 탐색
- 샌드박스 환경에서 Python 스크립트 실행
- 퍼징을 위한 입력 생성
- 프로그램 디버깅 및 결과 관찰
구글은 소프트웨어가 출시되기 전에 취약점을 발견한다는 것은 공격자가 경쟁할 여지가 없다는 것을 의미한다고 강조했습니다. 취약점이 공격자가 사용할 기회를 얻기도 전에 수정되기 때문입니다.
문제의 핵심 - 공개 정책과 자원 불균형
구글의 90일 공개 정책
충돌의 중심에는 구글 Project Zero가 7월에 발표한 정책이 있습니다. 이 정책은 보고된 취약점을 1주일 내에 공개적으로 공개하고, 패치 가용성 여부와 관계없이 90일 카운트다운을 시작합니다.
이는 보안 업계에서 일반적으로 사용되는 “책임있는 공개(Responsible Disclosure)” 방식이지만, 대기업과 자원이 부족한 오픈소스 프로젝트 간에 적용될 때는 형평성 문제가 발생합니다.
FFmpeg 관리자들의 반발
FFmpeg 관리자들은 X(구 트위터)에서 다음과 같이 강력하게 반발했습니다.
“우리는 보안을 매우 진지하게 받아들이지만, 수조 달러 규모의 기업들이 AI를 실행하여 사람들의 취미 코드에서 보안 문제를 찾아낸 다음, 자원봉사자들에게 이를 수정하라고 기대하는 것이 과연 공정한가요?”
이들은 구글의 AI 도구가 해결책 없이 리포트만 쏟아내고 있으며, 이는 대부분 무급 자원봉사자들에 의해 유지되는 프로젝트에 부담을 주고 있다고 주장했습니다.
패치 제공 없는 버그 리포트
구글의 접근 방식에서 특히 문제가 되는 부분은 결함을 보고하면서도 패치나 코드 수정을 제공하지 않는다는 점입니다. 이는 오픈소스 커뮤니티에서 큰 불만을 야기했습니다.
일반적으로 오픈소스 커뮤니티에서는 문제를 발견한 사람이 수정 방안도 함께 제시하는 것이 관례입니다. 특히 리소스가 풍부한 대기업이 리소스가 부족한 자원봉사 프로젝트에 버그만 보고하는 상황은 많은 비판을 받고 있습니다.
오픈소스의 지속가능성 위기
이번 사건은 현대 인터넷을 지탱하는 핵심 오픈소스 인프라가 직면한 광범위한 지속가능성 위기를 부각시킵니다.
비대칭적 가치 추출
- 구글, 아마존, 마이크로소프트 같은 수조 달러 규모의 기업들이 FFmpeg을 비롯한 오픈소스 프로젝트로부터 막대한 가치를 얻고 있습니다
- 하지만 이러한 프로젝트에 대한 재정적 기여는 매우 제한적입니다
- 대부분의 개발 작업은 자원봉사자들에 의해 이루어집니다
유지보수 부담의 증가
AI 도구가 자동으로 버그를 찾아내면서 오픈소스 관리자들의 부담이 급증하고 있습니다. FFmpeg 팀은 구글의 AI가 생성한 CVE의 홍수를 처리할 재정적, 인적 자원이 부족하다고 명확히 밝혔습니다.
더 많은 지원 없이는 오픈소스로부터 이익을 얻는 수조 달러 규모의 기업들이 충분히 자금을 지원하지 않는 한, 많은 자원봉사 중심의 핵심 오픈소스 프로젝트들이 더 이상 유지보수되지 않을 것입니다.
해결책은 무엇인가
이 문제를 해결하기 위한 몇 가지 방향이 제시되고 있습니다.
기업의 직접 지원
대기업들이 자신들의 서비스에 필수적인 오픈소스 프로젝트에 직접적인 재정 지원을 제공해야 한다는 목소리가 높습니다. 이는 다음과 같은 형태가 될 수 있습니다.
- 정기적인 후원금
- 전담 개발자 고용 및 파견
- 인프라 및 도구 제공
- 보안 감사 및 패치 개발 지원
패치 포함 버그 리포트
구글과 같은 기업이 버그를 발견할 때 패치도 함께 제공하는 것이 바람직합니다. 이미 코드를 분석할 수 있는 AI 도구를 가지고 있다면, 수정 방안도 제안할 수 있어야 합니다.
공개 정책의 유연성
90일 공개 정책을 프로젝트의 규모와 자원에 따라 유연하게 적용하는 것도 고려할 수 있습니다. 대기업과 자원봉사 프로젝트에 동일한 기준을 적용하는 것은 공정하지 않을 수 있습니다.
마치며
FFmpeg과 구글 간의 이번 충돌은 단순한 한 프로젝트의 문제가 아닙니다. 이는 현대 디지털 인프라의 대부분을 지탱하는 오픈소스 생태계의 구조적 문제를 드러냅니다.
오픈소스 소프트웨어는 인터넷 경제에서 수조 달러의 가치를 창출하고 있습니다. 하지만 이러한 가치를 창출하는 개발자들은 종종 적절한 보상을 받지 못하고 있습니다. AI 도구가 더 많은 버그를 찾아낼수록 이 문제는 더욱 심화될 것입니다.
기업들이 오픈소스에 의존하면서도 이를 지속가능하게 만드는 데 투자하지 않는다면, 언젠가는 핵심 인프라가 유지보수되지 않는 상황에 직면할 수 있습니다. FFmpeg의 메시지는 명확합니다. “자금을 지원하거나, 버그 리포트를 멈추라.” 이는 전체 오픈소스 생태계를 위한 경고이기도 합니다.
Google Cloud Blog - Cloud CISO Perspectives: Our Big Sleep agent makes a big leap ↩︎
The Hacker News - Google’s AI Tool Big Sleep Finds Zero-Day Vulnerability in SQLite Database Engine ↩︎