취약점 보고는 더 이상 특별하지 않다
원제: Vulnerability reports are not special anymore
왜 중요한가
LLM의 보안 분석 능력 확대로 기존 취약점 보고 체계의 근본적 재검토가 필요해지며, 오픈소스 보안 운영 방식의 변화를 시사한다.
Go 보안팀 리더 필리포 바르소티는 LLM이 보안 연구자 수준의 분석을 제공하고 누구나 접근 가능해지면서 취약점 보고의 특별한 지위가 사라지고 있다고 주장했다. 2026년 현재 공격자도 LLM을 활용할 수 있어 기존의 선제 공개와 보안 조율의 이점이 감소했다는 분석이다.
오픈소스 유지보수자로서 일해온 필리포 바르소티는 그동안 취약점 보고는 일반 이슈와 달리 특별한 책임이 따른다고 생각해왔다. 보안 연구자가 전체 공개 대신 비공개로 보고해주므로 빠른 응답과 출처 명시 같은 책임이 있다는 논리였다. 이는 연구자가 귀중한 통찰력과 공격자가 악용하기 전 패치를 배포할 수 있는 기간을 제공하기 때문이라는 설명이었다.
그러나 2026년 현재 이 전제들이 더 이상 유효하지 않다고 바르소티는 진단했다. LLM(대형언어모델)이 거의 모든 보안 연구자 수준의 분석을 제공할 수 있고, 유지보수자, 공격자 누구나 실행할 수 있게 되었기 때문이다. 취약점 발견이 아닌 실제 위협 평가가 병목이 되었으며, 신뢰 관계가 없는 외부 연구자는 이 검증 과정에 의미 있게 기여하기 어려워졌다. 과거 중요했던 보안 공개 공조와 기간 제한도 공격자가 자신의 LLM을 활용해 취약점을 파악할 수 있으므로 중요성이 감소했다. 바르소티는 취약점 보고의 특별한 지위 시대가 끝나가고 있으며, 이제는 신속한 검증과 개선, 그리고 CI(지속적 통합) 환경에서 LLM 분석 실행이 핵심 과제가 되어야 한다고 제시했다.