AI 슬롭 보고서 폭증, Curl·Bugcrowd 등 버그 바운티 프로그램 흔들

회사가 해커에게 소프트웨어 결함 발견의 대가를 지급하는 '버그 바운티' 프로그램이 AI가 만든 저품질 보고서로 몸살을 앓고 있다. 일부 기업은 프로그램 자체를 일시 중단했다.

버그 바운티 운영사들은 오랫동안 독립 보안 연구자에게 의존해 취약점을 찾아왔지만, AI 도구가 등장하면서 잘못된 제출이 쏟아지는 상황이다.

OpenAI, T-모바일, 모토로라를 고객으로 둔 버그 바운티 운영사 Bugcrowd는 3월 3주 동안 받은 보고가 4배 넘게 늘었으며, 대부분 거짓으로 판명됐다고 밝혔다.

인터넷 데이터 전송 도구로 널리 쓰이는 Curl은 1월 유료 버그 바운티 프로그램을 중단했다. 회사 측은 'AI 슬롭(저품질 결과물) 보고서 폭증'과 제출물 품질 하락을 이유로 들었다.

사이버 보안 전문가들은 생성형 AI가 버그 바운티의 경제 구조를 바꾸고 있다고 본다. 경험 있는 연구자에게는 결함을 더 빨리 찾도록 돕지만, 동시에 진입 장벽을 낮춰 자동화되거나 오류투성이인 제출이 홍수처럼 밀려들고 있다는 진단이다.

사이버 보안 그룹 소포스(Sophos)의 최고정보보호책임자(CISO) 로스 매커처는 "저품질 AI 보고가 빠르게 큰 문제가 되고 있다"고 말했다. 그는 "버그 바운티는 사라지지 않겠지만, 형태는 바뀌어야 할 것"이라고 덧붙였다.

버그 바운티는 2000년대 초부터 인기를 끌었고, 가장 큰 발견에는 6자리 달러의 보상이 책정돼 왔다.

구글의 버그 바운티 프로그램은 지난해 총 1,700만 달러를 지급해 2021년의 750만 달러에서 두 배 이상 늘었다. 2022년에는 안드로이드 모바일 운영체제 취약점을 발견한 사용자에게 60만 5천 달러라는 사상 최대 개별 보상을 지급한 바 있다.

매커처는 저품질 제출 증가가 처음 버그를 찾으려는 아마추어와 함께, 'AI 에이전트에 이끌려가는' 기존 연구자 양쪽 모두에서 나타나고 있다고 지적했다.