"AI로 전세계 오픈소스 지킨다"…오픈AI, 패치 더 플래닛 출범
오픈AI가 전 세계 핵심 오픈소스 소프트웨어(SW) 보안을 강화하고 버그를 방지하기 위한 지원에 나섰다. 오픈AI는 24일 신규 보안 프로젝트 '패치 더 플래닛(Patch the Planet)'을 출범했다고 공식 홈페이지를 통해 밝혔다. 패치 더 플래닛은 오픈AI 보안 연구 이니셔티브인 데이브레이크(Daybreak)의 일환으로 보안 전문 기업인 트레일오브비츠와 협력해 추진된다. 오픈AI의 최신 AI 모델을 활용한 취약점 탐지와 보안 전문가의 검증을 결합해 단순한 취약점 발견을 넘어 실제 패치 개발과 배포까지 지원하는 것이 핵심이다. 최근 AI 기술 발전으로 소프트웨어 취약점 탐지 속도가 크게 빨라졌지만, 오픈소스 유지보수자들은 늘어나는 보안 보고서를 처리할 인력과 시간이 부족한 상황이다. 오픈AI는 이러한 문제를 해결하기 위해 보안 엔지니어가 취약점을 사전 검증하고 패치와 테스트 개발까지 지원하는 체계를 구축했다. 초기 프로젝트에는 시그스토어, 고, 파이썬 등 주요 오픈소스 프로젝트가 참여했다. 오픈AI는 참여 프로젝트에 챗GPT 프로와 보안 특화 코딩 도구인 코덱스 시큐리티 접근 권한, API 크레딧 등을 제공한다. 트레일 오브 비츠는 AI를 활용한 취약점 분류, 중복 제거, 패치 생성 워크플로를 개발해 프로젝트들이 지속적으로 활용할 수 있도록 지원하고 있다. 초기 성과도 나타나고 있다. 트레일 오브 비츠 연구진은 GPT-5.5-사이버와 코덱스를 활용해 19개 오픈소스 프로젝트를 분석한 결과 수백 건의 보안 이슈를 발견하고 수십 건의 패치를 적용했다. 또한 퍼징 환경 구축, 과거 CVE 분석 자동화, 차등 테스트, 위협 모델링 등 재사용 가능한 보안 인프라도 구축했다. 오픈AI는 이번 프로그램을 통해 운영체제, 네트워크, 브라우저 등 다양한 분야에서 실제 취약점을 발견했다고 밝혔다. 운영체제 분야에서는 리눅스 커널 3천만 줄 이상의 코드에서 보안 관련 이슈를 분석해 8개의 커널 포인터 정보 유출 개념증명(PoC)과 24개의 로컬 권한 상승(LPE) 공격 코드를 생성했다. 또한 오픈BSD 커널에서는 23년간 존재했던 취약점을 발견해 일반 사용자가 루트 권한을 획득할 수 있는 가능성을 확인했다. 브라우저 분야에서도 성과가 이어졌다. 오픈AI 연구진은 크롬 V8 자바스크립트 엔진에서 악용 가능한 취약점 5건을 발견해 보고했으며 이 중 3건은 도입 직후 수일 내에 탐지됐다. 사파리 브라우저의 웹킷 엔진에서도 약 일주일간의 분석을 통해 10건 이상의 취약점을 찾아냈다. 또한 파이어폭스에서는 GPT-5.5를 활용한 안전성 평가 과정에서 웹어셈블리 취약점(CVE-2026-8390)을 발견했으며 해당 취약점은 국제 해킹대회인 폰투온 베를린 개최 이틀 전에 패치됐다. 오픈AI 측은 "오픈소스 SW는 모두가 공유하는 사회적 인프라"라며 "AI가 취약점 발견 속도를 바꾸고 있는 만큼 유지보수자들이 더 나은 도구와 역량을 확보할 수 있도록 지원하는 것이 목표"라고 밝혔다. 이어 "취약점 발견, 검증, 심각도 평가, 공개, 패치 개발, 테스트, 배포까지 전체 방어 과정을 지원하는 것이 패치 더 플래닛의 핵심"이라며 "앞으로 더 많은 프로젝트와 협력해 오픈소스 생태계 보안 강화에 기여할 계획"이라고 덧붙였다.
