AI가 쏟아낸 가짜 버그의 습격: cURL 버그 바운티 프로그램 결국 중단
cURL 개발팀이 AI 생성 저품질 리포트 폭주로 인해 버그 바운티 프로그램을 중단했습니다. 다니엘 스텐베르그가 밝힌 cURL 버그 바운티 중단 이유와 오픈 소스 보안의 위기를 분석합니다.
보안을 지키려던 제도가 오히려 개발자를 위협한다. 인터넷에서 가장 널리 쓰이는 네트워킹 도구 중 하나인 cURL의 개발팀이 저품질 AI 생성 리포트의 폭주를 견디지 못하고 취약점 보상 프로그램(버그 바운티)을 전격 중단했다.
cURL 버그 바운티 중단 배경: 소수 개발자가 감당 못한 'AI 슬롭'
cURL의 창시자이자 수석 개발자인 다니엘 스텐베르그(Daniel Stenberg)는 지난 2026년 1월 22일(현지 시각) 자신의 블로그를 통해 이 같은 결정을 발표했다. 그는 소수의 핵심 유지보수 관리자로 운영되는 소규모 오픈 소스 프로젝트가 인공지능이 대량으로 찍어내는 이른바 'AI 슬롭(AI Slop)' 리포트를 일일이 검토하는 것이 불가능한 수준에 이르렀다고 토로했다.
우리는 소수의 활성 관리자로 구성된 작은 오픈 소스 프로젝트일 뿐입니다. 수많은 사람과 그들의 '슬롭 머신'이 작동하는 방식을 바꾸는 건 우리 힘 밖의 일입니다. 우리의 생존과 정신 건강을 지키기 위해 결단이 필요했습니다.
보안 공백 우려와 불가피한 선택
사용자들 사이에서는 이번 조치가 원인 해결 없이 증상만 치료하는 격이라는 비판도 나온다. 취약점 보상 프로그램이 사라지면 실제 보안 위협을 식별하고 수정할 수 있는 핵심적인 통로가 차단될 수 있다는 우려다. 스텐베르그 역시 이러한 우려에 상당 부분 동의했지만, 현재로서는 다른 선택지가 없음을 시사했다. 가짜 버그를 걸러내는 데 드는 시간적 비용이 실제 보안을 강화하는 데 써야 할 에너지를 모두 갉아먹고 있기 때문이다.
기자
관련 기사
영국 비자 신청 대행 사이트 'UK Visa Portal'에서 10만 건 이상의 여권 사진과 셀피가 외부에 노출됐다. 피해자들은 공식 정부 사이트로 착각하고 개인정보를 제출했다.
주당 3억 2500만 번 다운로드되는 오픈소스 프레임워크 Starlette에서 치명적 보안 취약점이 발견됐다. MCP 서버를 통해 AI 에이전트가 보관 중인 자격증명과 민감 데이터가 무방비 상태로 노출될 수 있다.
GitHub 내부 코드 저장소 3,800개가 해킹됐다. VS Code 확장 프로그램을 통한 공급망 공격의 실체와, 개발자 생태계 전반이 새로운 표적이 된 이유를 분석한다.
Dirty Frag' 취약점이 리눅스 전 배포판에서 루트 권한 탈취를 허용한다. 익스플로잇 코드가 공개된 지 3일, 마이크로소프트는 이미 실제 공격 시도를 포착했다.
영국 비자 신청 대행 사이트 'UK Visa Portal'에서 10만 건 이상의 여권 사진과 셀피가 외부에 노출됐다. 피해자들은 공식 정부 사이트로 착각하고 개인정보를 제출했다.
주당 3억 2500만 번 다운로드되는 오픈소스 프레임워크 Starlette에서 치명적 보안 취약점이 발견됐다. MCP 서버를 통해 AI 에이전트가 보관 중인 자격증명과 민감 데이터가 무방비 상태로 노출될 수 있다.
GitHub 내부 코드 저장소 3,800개가 해킹됐다. VS Code 확장 프로그램을 통한 공급망 공격의 실체와, 개발자 생태계 전반이 새로운 표적이 된 이유를 분석한다.
Dirty Frag' 취약점이 리눅스 전 배포판에서 루트 권한 탈취를 허용한다. 익스플로잇 코드가 공개된 지 3일, 마이크로소프트는 이미 실제 공격 시도를 포착했다.
의견
이 기사에 대한 생각을 나눠주세요
로그인하고 의견을 남겨보세요