🛡️ AI가 스스로 보안 취약점을 찾아내고 수정까지? 구글 딥마인드의 '코드멘더(CodeMender)' 공개!

🛡️ AI가 스스로 보안 취약점을 찾아내고 수정까지? 구글 딥마인드의 '코드멘더(CodeMender)' 공개!

 

🛡️ AI가 스스로 보안 취약점을 찾아내고 수정까지? 구글 딥마인드의 '코드멘더(CodeMender)' 공개!

소프트웨어의 보안 취약점을 찾아내고, 다른 기능을 망가뜨리지 않으면서 완벽하게 수정하는 일은 모든 개발자에게 큰 부담입니다. 그런데 만약, AI가 이 모든 과정을 자율적으로 처리해 주는 똑똑한 보안 전문가 역할을 해준다면 어떨까요?

오늘 구글 딥마인드가 바로 그 미래를 현실로 만들 새로운 AI 에이전트, '코드멘더(CodeMender)'에 대한 초기 연구 결과를 공개했습니다.

✨ 코드멘더의 두 가지 접근법: '사후 처리'와 '사전 예방'

코드멘더는 단순히 버그를 수정하는 것을 넘어, 코드 보안에 대한 포괄적인 접근 방식을 취합니다.

1. 🩹 반응형 접근: 취약점 자동 패치 (Reactive)

코드멘더는 이미 발견된 취약점(예: 크래시 리포트)에 대해, 디버거와 소스 코드 분석 등 다양한 도구를 활용하여 숨겨진 근본 원인을 찾아냅니다. 예를 들어, 메모리 버퍼 오버플로우로 보이는 문제의 실제 원인이 전혀 다른 곳의 XML 파싱 로직에 있다는 것을 스스로 파악하고, 정확한 지점을 수정하는 식입니다.

2. 💪 사전 예방적 접근: 안전한 코드로 재작성 (Proactive)

더 나아가, 코드멘더는 기존 코드를 더 안전한 데이터 구조나 API를 사용하도록 선제적으로 재작성하여, 잠재적인 취약점의 싹을 잘라냅니다.

실제 예로, 과거 iOS 제로클릭 공격에 사용되었던 libwebp 라이브러리의 취약점(CVE-2023-4863)을 들었습니다. 코드멘더는 이 라이브러리에 컴파일러가 메모리 경계를 검사하도록 하는 -fbounds-safety 주석을 자동으로 추가하는 작업을 수행했습니다. 이 작업이 미리 적용되었다면, 해당 취약점은 애초에 공격 불가능한 상태가 되었을 것입니다.

🤔 어떻게 실수를 방지하나? '자동 검증'과 '멀티 에이전트' 시스템

"AI가 수정한 코드를 어떻게 믿지?" 라는 질문은 당연합니다. 코드멘더는 이 문제를 해결하기 위해 정교한 안전장치를 갖추고 있습니다.

• 자동 검증 (Automatic Validation): 생성된 패치가 ▲근본 원인을 해결하는지, ▲기능적으로 올바른지, ▲다른 기능에 문제를 일으키지 않는지(회귀 테스트), ▲프로젝트의 코딩 스타일을 따르는지 등을 자동으로 검증합니다. 이 모든 과정을 통과한 고품질 패치만이 사람의 검토 단계로 올라옵니다.
• 멀티 에이전트 시스템 (Multi-agent Systems): 코드멘더는 여러 전문 AI 에이전트가 협업하는 시스템을 사용합니다. 예를 들어, 한 에이전트가 코드를 수정하면, 'AI 비평가(critique tool)' 역할을 하는 다른 에이전트가 원본 코드와 수정된 코드를 비교하며 문제점을 지적합니다. 그러면 코드를 수정했던 에이전트는 이 피드백을 바탕으로 스스로 코드를 다시 고칩니다(self-correct).

🚀 현재와 미래

코드멘더는 아직 연구 초기 단계임에도 불구하고, 지난 6개월 동안 오픈소스 프로젝트에 72개의 보안 패치를 성공적으로 기여했으며, 이 중 다수는 이미 채택되었습니다. (물론 모든 패치는 제출 전 연구원들의 검토를 거칩니다.)

구글 딥마인드는 앞으로 오픈소스 커뮤니티와 긴밀히 협력하며 피드백을 반영하고, 점진적으로 모든 소프트웨어 개발자가 코드베이스를 안전하게 유지하는 데 사용할 수 있는 도구로 코드멘더를 출시하는 것을 목표로 하고 있습니다.

AI가 취약점을 '찾는' 시대에서, AI가 취약점을 '해결하는' 시대로 넘어가는 중요한 전환점이 될 코드멘더의 행보를 주목해 볼 필요가 있겠습니다.

 

 

 

https://vibehub.tech/