인공지능(AI) 에이전트로 기존 시스템의 문제를 찾아낸다는 구글의 시도가 의미 있는 성과를 냈다.
헤더 앳킨스 구글 보안 담당 부사장은 4일(현지시간) X(트위터)를 통해 '제미나이'를 활용한 AI 보안 연구 시스템 ‘빅슬립(Big Sleep)’이 총 20건의 보안 취약점을 발견했다고 발표했다.
이번에 보고된 취약점은 대부분 오픈 소스 인기 소프트웨어에 집중됐다. 대표적으로 멀티미디어 라이브러리 'FFmpeg', 이미지 편집 도구 '이미지매직(ImageMagick)' 등이 포함됐다.
빅슬립은 구글 딥마인드와 보안 전문가 그룹 프로젝트 제로(Project Zero)가 공동으로 개발한 AI 기술을 활용한 자동화 보안 진단 시스템으로, 지난 11월 처음 공개됐다.
애드킨스 부사장은 “아직 취약점이 수정되지 않아 세부 정보는 공개하지 않는다”라며 “이번 결과는 AI 기반 취약점 탐지 시스템이 실질적인 성과를 내기 시작했음을 보여주는 중요한 사례”라고 말했다.
Today as part of our commitment to transparency in this space, we are proud to announce that we have reported the first 20 vulnerabilities discovered using our AI-based "Big Sleep" system powered by Gemini — https://t.co/0sgPlazqaq
— Heather Adkins - Ꜻ - Spes consilium non est (@argvee) August 4, 2025
구글은 이번에 발견한 취약점은 AI 에이전트가 인간 개입 없이 스스로 발견했으며, 이후 품질 검증을 위해 인간 전문가가 최종 검토를 진행했다고 설명했다. 이처럼 인간-AI 협업 구조를 유지하면서도, 탐지 자체는 AI가 독립적으로 수행했다는 점이 핵심이다.
로열 한센 구글 엔지니어링 부사장도 X를 통해 “자동화된 취약점 탐지의 새로운 지평을 여는 성과”라며 빅슬립의 잠재력을 강조했다.
최근 보안 업계에서는 이처럼 LLM 기반 AI 도구들이 속속 등장하고 있다. 빅슬립 외에도 런시빌, X보우(XBOW) 등의 프로젝트가 진행 중이다. 특히, X보우는 미국 해커원(HackerOne) 플랫폼에서 취약점 리더보드 상위권에 오르며 주목받았다.
블라드 이오네스쿠 런시빌 공동 창립자는 “빅슬립은 설계가 훌륭하고, 딥마인드와 프로젝트 제로의 역량이 결합한 신뢰할 만한 프로젝트”라고 평했다.
물론, AI 기반 보안 탐지 기술이 완벽한 것은 아니다.
일부 오픈 소스 개발자들은 AI가 실제 존재하지도 않는 취약점을 지적하는 등 '환각성 버그 리포트'로 인해 혼란을 겪었다고 밝혔다. “AI가 황금처럼 보여도, 실제로는 쓰레기인 경우가 많다”라는 말이다.
박찬 기자 cpark@aitimes.com
