오픈소스 컨트리뷰터 한 명이 Anthropic(인공지능 연구소)의 새 모델 Mythos(코드 보안 결함 탐색 AI)를 이용해 curl(데이터 전송 도구)의 소스 코드를 직접 스캔해 봤다고 한다. 그는 이 과정에서 5개의 보안 취약점을 찾아냈다는 보고서를 작성해 전달했다.

Mythos가 찾아낸 5개의 취약점과 실제 결과

Anthropic은 2026년 4월 Mythos가 소스 코드의 보안 결함을 찾는 데 위험할 정도로 뛰어나다는 결론을 내렸다. 이 모델은 즉시 공개되지 않고 일부 기업과 Linux Foundation(오픈소스 생태계를 지원하는 비영리 단체)을 통해 제한적으로 제공되었다. 이번 분석은 curl의 git 저장소 내 src/와 lib/ 하위 디렉터리에 있는 17만 8천 줄의 코드를 대상으로 수행되었다.

분석 대상인 curl은 현재 빈 줄을 제외하고 17만 6천 줄의 C 코드로 구성되어 있다. 전체 단어 수는 66만 개에 달하며 이는 소설 전쟁과 평화보다 12% 더 많은 분량이다. 현재까지 188개의 CVE(공개적으로 알려진 보안 취약점 목록)를 공개했으며 전 세계 200억 개 이상의 인스턴스에 설치되어 스마트폰부터 서버까지 광범위하게 사용되고 있다.

보안팀이 Mythos의 보고서를 몇 시간 동안 검토한 결과 5개의 취약점 중 실제 확인된 것은 1개뿐이었다. 나머지 4개 중 3개는 API 문서에 명시된 한계를 지적한 오탐이었고 1개는 단순한 버그로 분류되었다. 확인된 단일 취약점은 심각도가 낮은 수준이며 6월 말 출시 예정인 curl 8.21.0 버전에서 수정되어 공개될 예정이다. 이 외에도 보고서에는 약 20개의 일반 버그가 포함되었으며 개발팀은 이를 수정하고 있다.

AI 분석기가 전통적 도구와 갈라지는 지점

예전의 정적 분석 도구들은 정해진 규칙에 따라 코드의 패턴을 읽어 결함을 찾았다. 반면 AI 분석기는 주석이 설명하는 내용과 실제 코드의 동작이 서로 다를 때 이를 잡아낼 수 있다. 쉽게 말하면 사람이 쓴 설명서와 실제 기계의 작동 방식이 엇갈리는 지점을 찾아내는 식이다.

AI 분석기가 특히 강점을 보이는 지점은 외부 라이브러리와 API(응용 프로그램 인터페이스)의 세부 사항을 미리 알고 있다는 점이다. 이를 통해 개발자가 외부 도구를 잘못 사용하거나 잘못된 가정을 바탕으로 코드를 짰을 때 이를 감지한다. 또한 curl이 구현하는 프로토콜(통신 규약) 사양을 이해하고 있어 코드가 표준을 위반하는 지점을 정확히 짚어낸다.

이미 curl 프로젝트는 AISLE, Zeropath, OpenAI의 Codex Security(코드 보안 분석 AI) 같은 도구들을 사용해 왔다. 최근 8개월에서 10개월 동안 이러한 AI 도구들의 분석을 통해 200개에서 300개의 버그가 수정되었으며 그중 12개 이상이 실제 CVE로 공개되었다. AI는 완전히 새로운 종류의 취약점을 창조하기보다 기존의 오류 유형을 더 빠르고 꼼꼼하게 찾아내는 역할을 수행한다.

개발팀은 OSS-Fuzz(오픈소스 버그 자동 탐색 도구), Coverity(정적 분석 도구), CodeQL(코드 쿼리 분석 도구) 같은 강력한 방어 체계를 이미 갖추고 있다. 숫자 파싱 시 최대값을 명시하는 curlx_str_number(숫자 변환 함수)나 오버플로 가드가 있는 curlx_memdup0(메모리 복제 함수) 같은 장치들이 이미 작동 중이다. Mythos가 특별히 위험할 정도로 뛰어난 성능을 보였다는 증거는 부족하며 이번 결과는 마케팅적 요소가 컸다는 평가가 나온다.

AI가 보안 전문가를 완전히 대체하지는 못해도 공격자가 틈을 찾기 전에 먼저 구멍을 메우는 가장 효율적인 조기 경보 시스템이 되었다.