[Lobsters 요약] AI 보안 스캐닝, 10주간 17개 버그 발견: Perfetto 트레이스 프로세서 사례
31
설명
2026년 6월 7일, Perfetto의 트레이스 프로세서에서 10주간 AI 보안 스캐닝을 통해 17개의 실제 보안 버그가 발견되었습니다.
이는 과거에는 발견하기 어려웠던 '롱테일' 코드베이스의 보안 취약점을 AI가 효과적으로 찾아내고 있음을 시사합니다.
발견된 버그들은 대부분 경계 검사 및 사용 후 해제 오류 등 기계적인 성격이 강했으며, AI의 도움으로 신속하게 수정되었습니다.
### 배경 설명
소프트웨어 개발에서 보안은 항상 최우선 과제였지만, 전통적으로 커널, 암호화 라이브러리, 비밀번호 관리자 등 보안이 매우 중요한(security-critical) 프로젝트에 연구자들의 관심이 집중되었습니다. 이로 인해 보안 관련성이 있지만 치명적이지는 않은(security-relevant but not truly security-critical) 코드베이스는 상대적으로 주목받지 못하는 경향이 있었습니다. Perfetto의 트레이스 프로세서와 같은 프로젝트는 이러한 '롱테일'에 속하며, 과거에는 내부 퍼징(fuzzing)을 통해 일부 버그를 발견했지만, 정교하게 조작된 입력값으로만 도달 가능한 깊숙한 내부의 취약점은 발견하기 어려웠습니다. 또한, 보안 전문가나 개발팀의 시간적 제약으로 인해 이러한 프로젝트에 대한 심층적인 보안 감사나 취약점 탐색은 현실적으로 어려웠습니다. 이러한 상황에서 AI 기반 보안 스캐닝 도구의 등장은 이전에는 간과되었던 수많은 코드베이스의 잠재적 보안 위험을 효과적으로 식별할 수 있는 새로운 가능성을 열었습니다. 특히, 2026년 초부터 Google 내부에서 다양한 프로젝트를 대상으로 AI 기반 보안 스캐닝이 수행되면서, Perfetto 트레이스 프로세서와 같은 프로젝트에서도 이전에는 발견되지 않았던 다수의 취약점이 보고되기 시작했습니다. 이는 AI가 단순히 알려진 패턴을 탐지하는 것을 넘어, 복잡한 코드 구조 내에서도 잠재적인 보안 문제를 식별하는 능력이 향상되었음을 보여줍니다.
### AI 보안 스캐닝의 등장과 Perfetto 트레이스 프로세서
Lalit Maganti는 2026년 6월 7일, Perfetto의 트레이스 프로세서에서 지난 몇 주간 이전보다 훨씬 많은 보안 버그 보고를 받았다고 밝혔습니다. 이 모든 버그는 AI에 의해 발견되었으며, 이는 1년 전에는 거의 발견되지 않았을 버그들이라고 언급했습니다. Perfetto의 트레이스 프로세서는 다양한 형식의 기록된 트레이스를 처리하는 C++ 라이브러리입니다. 일반적으로 사용자가 직접 수집하거나 테스트 인프라에서 수집한 트레이스를 오프라인으로 처리하기 때문에 '신뢰할 수 없는 입력(untrusted input)'이 큰 문제가 되지 않는다고 여겨졌습니다. 그러나 일부 사용자는 직접 수집하지 않은 트레이스(예: 사용자 버그 보고, 자동 수집)를 처리하기도 하며, 이러한 경우 gvisor, sandbox2, minijail과 같은 샌드박싱 솔루션이나 가상 머신(VM) 사용이 권장되었습니다. 이러한 샌드박싱 외에도, Google 내부에서는 주로 퍼징을 통해 문제를 사전에 탐지해왔지만, 시간이 지남에 따라 발견되는 버그의 수가 줄어들고 있었습니다. AI 기반 보안 스캐닝은 이러한 상황에 변화를 가져왔습니다. 2026년 4월 초부터 AI 스캐닝 팀으로부터 버그 보고가 들어오기 시작했으며, 4월 말부터는 일주일에 여러 개의 버그가 보고되는 빈도가 증가했습니다. 이 보고들은 매우 상세하고, 공격 모델 및 수정 제안까지 포함하고 있어 품질이 매우 높다고 평가되었습니다.
### 발견된 버그 유형 및 수정 과정
총 21개의 버그 보고 중 17개가 실제 문제로 분류되었으며, 4개는 조치 불가능한 것으로 판단되었습니다. 실제 문제로 분류된 17개의 버그는 다음과 같은 유형으로 나뉩니다. 10건은 경계 검사(bounds checking) 관련 오류로, 고정 크기 버퍼에 임의의 트레이스 데이터가 들어가거나 검증되지 않은 배열 인덱스로 인해 버퍼 오버런 또는 언더런이 발생했습니다. 5건은 사용 후 해제(use-after-free) 오류로, 객체를 참조하는 백 포인터나 해시맵 키가 해당 객체가 해제된 후에도 유효한 상태로 남아 발생하는 문제였습니다. 또한, 입력값이 깊게 중첩될 때 발생하는 무제한 재귀로 인한 스택 오버플로우 1건과, 특정 코드 경로에서 접근 제어(access control)를 제대로 적용하지 않은 1건이 있었습니다. 4건의 조치 불가능한 보고는 순전히 가설적인 공격 가능성이거나, 근본적인 설계 변경이 필요한 경우로 판단되어 수정되지 않았습니다. 보고된 17개의 실제 버그는 대부분 Perfetto v56.0 릴리스에 포함되어 수정되었습니다. 특히, 경계 검사 오류와 같은 기계적인 버그는 AI에게 잘 작성된 보고서를 전달하면 약 10분 내에 10~20줄의 수정 PR(Pull Request)이 생성될 정도로 신속하게 처리되었습니다. 개발자는 이 PR을 검토하고 이해하는 데 집중할 수 있었습니다. 하지만 일부 사용 후 해제 오류와 같은 문제는 단순한 구현 오류를 넘어 설계상의 근본적인 문제를 시사하기도 했습니다. 이러한 경우, 즉각적인 패치는 가능했지만, 장기적으로는 객체 소유권 모델을 재구성하는 등 더 깊은 코드 구조 개선이 필요했습니다. 보안 버그가 이러한 장기적인 코드 정리를 위한 동기 부여가 되는 경우도 있었습니다.
### AI 보안 스캐닝의 지속 가능성과 향후 전망
AI 보안 스캐닝을 통한 버그 보고의 지속 가능성에 대한 의문도 제기되었습니다. 현재까지는 코드베이스의 각 부분이 순차적으로 검토되는 패턴을 보이며, 버그 보고 속도는 점차 감소하는 추세입니다. 9년간 축적된 코드에 대한 스캐닝 결과가 17개의 실제 버그로 나타났으며, 향후에도 새로운 코드 추가 속도보다 AI 스캐너가 기존 코드를 처리하는 속도가 더 빠를 것으로 예상됩니다. 그러나 향후 AI 모델이 더 복잡한 설계 문제를 발견하게 될 경우, 수정에 더 많은 시간과 노력이 소요될 수 있다는 점은 불확실성으로 남아 있습니다. Perfetto 트레이스 프로세서와 같이 신뢰할 수 없는 입력이 존재하지만 보안이 치명적이지 않은 프로젝트의 경우, AI 보안 스캐너가 가장 큰 영향을 미칠 것으로 예상됩니다. 반면, curl이나 OpenSSL과 같이 신뢰할 수 없는 입력과 보안이 치명적인 프로젝트에서는 더 많은 복잡한 보고와 높은 오탐률이 발생할 수 있습니다. 내부 도구나 신뢰할 수 있는 데이터만 처리하는 프로젝트에서는 AI 스캐닝의 영향을 거의 느끼지 못할 것입니다. 현재 상황은 개발자가 전업으로 트레이스 프로세서를 유지보수하고, 외부 팀이 AI 스캔을 수행하며, 보고서가 경미하게 필터링된다는 세 가지 조건 하에 관리 가능합니다. 하지만 많은 오픈소스 프로젝트는 이러한 전담 팀을 운영할 여력이 없으므로, 이 분야에서의 혁신과 AI 연구소들의 기여가 더욱 중요해질 것입니다. 전반적으로, AI 보안 스캐닝은 Perfetto 트레이스 프로세서의 보안 수준을 높이고 장기적인 코드 개선을 촉진하는 긍정적인 영향을 미치고 있습니다. 다만, 스캔 속도 유지 여부, 미래 모델의 탐지 능력 변화 등은 지속적인 관찰이 필요합니다.
### 가치와 인사이트
AI 보안 스캐닝은 이전에는 간과되었던 '롱테일' 코드베이스의 보안 취약점을 효과적으로 식별하는 강력한 도구임이 입증되었습니다. Perfetto 트레이스 프로세서 사례는 AI가 기계적인 버그뿐만 아니라, 설계상의 문제점을 발견하는 데도 기여할 수 있음을 보여줍니다. 이러한 도구는 개발자가 보안 문제 해결에 집중할 수 있도록 지원하며, 궁극적으로 소프트웨어 생태계 전반의 보안 수준을 향상시킬 잠재력을 가지고 있습니다. 특히, 보안이 치명적이지는 않지만 중요한 프로젝트에서 AI 스캐너의 가치가 높으며, 이는 오픈소스 프로젝트의 보안 감사 부담을 줄여줄 수 있습니다. 또한, AI가 발견한 보안 문제는 종종 코드의 근본적인 설계 결함을 드러내어 장기적인 코드 품질 개선의 기회를 제공하기도 합니다.
### 기술·메타
* 언어: C++ (Perfetto 트레이스 프로세서)
* 보안 스캔 도구: AI 기반 보안 스캐닝 (구체적인 도구명은 비공개)
* 샌드박싱 솔루션: gvisor, sandbox2, minijail
* 릴리스: Perfetto v56.0
### 향후 전망
AI 보안 스캐닝 기술의 발전은 앞으로도 지속될 것이며, 더 복잡하고 정교한 취약점을 탐지할 수 있게 될 것입니다. 이는 Perfetto와 같은 프로젝트뿐만 아니라, 다양한 소프트웨어 개발 분야에 걸쳐 보안 감사 및 취약점 관리에 대한 접근 방식을 변화시킬 것입니다. 다만, AI 스캐너가 발견하는 버그의 속도와 복잡성, 그리고 이를 처리하기 위한 개발팀의 역량 간의 균형이 중요해질 것입니다. 또한, AI 스캐닝을 위한 인프라 구축 및 운영 비용 문제를 해결하기 위한 새로운 솔루션과 서비스 모델이 등장할 가능성이 높습니다. 오픈소스 커뮤니티에서는 이러한 AI 도구를 보다 쉽게 접근하고 활용할 수 있도록 지원하는 방안이 모색될 것이며, 이는 전반적인 소프트웨어 보안 수준 향상에 기여할 것입니다. 향후 AI 모델이 설계 문제 탐지에 더욱 능숙해진다면, 코드 리팩토링 및 아키텍처 개선에 대한 요구가 더욱 커질 수 있습니다.
📝 원문 및 참고
- Source: Lobsters
- 토론(Lobsters): [lobste.rs](https://lobste.rs/s/5iuaxt/17_bugs_10_weeks_from_ai_security_scanning)
- 원문: [링크 열기](https://lalitm.com/post/perfetto-security-bugs-ai/)
---
출처: Lobsters · [원문 링크](https://lalitm.com/post/perfetto-security-bugs-ai/)
신고 · 불법·유해·아동 안전(CSAE) 관련 콘텐츠
댓글 0
아직 댓글이 없습니다. 첫 댓글을 남겨 보세요.