AISLE의 자율 분석기가 2026년 1월 OpenSSL의 조정 공개 릴리스에 포함된 12개 CVE를 모두 찾아냈고, 일부는 수십 년간 발견되지 않았던 취약점이었다. 또한 릴리스 전에 수정된 비-CVE 이슈들도 함께 소개한다.
작성자
Stanislav Fort
게시일
2026년 1월 26일
.webp%3F2026-01-27T15%3A14%3A55.547Z&w=3840&q=100)
이 페이지의 내용
AISLE의 자율 분석기는 2026년 1월 OpenSSL의 조정 공개(coordinated release) 릴리스에 포함된 12개 CVE를 모두 찾아냈습니다. OpenSSL은 전 세계 안전한 통신의 상당 부분을 떠받치는 오픈소스 암호 라이브러리입니다. 이들 취약점 중 일부는 OpenSSL 코드에 수십 년 동안 존재했지만, 수천 명의 보안 연구자들의 눈을 피해 왔습니다.
OpenSSL에서 실제 보안 결함을 찾아내는 일은 극도로 어렵습니다. 받아들여진(accepted) 취약점 단 하나만으로도 매우 드문 성과로 간주됩니다. 라이브러리의 성숙도와 커뮤니티의 경계심 때문에 새로운 발견은 특히 드뭅니다. 이러한 점에서 2026년 1월 릴리스는 자율 보안 시스템에 있어 중요한 이정표입니다. OpenSSL 재단 CTO Tomáš Mráz는 다음과 같이 말합니다.
“OpenSSL 라이브러리와 전반적인 오픈소스 프로젝트 보안의 가장 중요한 원천 중 하나는 독립적인 연구입니다. 이번 릴리스는 12개의 보안 이슈를 수정하며, 모두 AISLE이 우리에게 공개(disclose)한 것입니다. 우리는 보고서의 높은 품질과, 수정 과정 전반에서 보여준 건설적인 협업에 감사드립니다.”
이 글에서는 우리의 발견을 개괄하고, 이것이 AI 기반 소프트웨어 보안에 있어 왜 분수령(watershed moment)이라고 생각하는지 설명하겠습니다.
AISLE 리서치 팀은 2025년 8월 자율 분석기로 OpenSSL 취약점을 찾기 시작했습니다. 2025년 3분기에 우리가 발견한 3건에 대해서는 여기에서 읽을 수 있습니다. 우리의 모든 발견은 책임 있는 공개(responsible disclosure)를 통해 보고되었고, OpenSSL 프로젝트와의 조정 릴리스를 통해 해결되었습니다.
AISLE의 분석기는 또한 12개 CVE 중 5개에 대해 수정 권고안을 제시했으며, 이는 OpenSSL에 직접 반영되었습니다.
12개의 CVE 외에도, 6건의 이슈는 어떤 지정(designation)도 부여받지 않았습니다. 각 사례에서 AISLE은 문제를 탐지하고 유지관리자에게 보고했으며, 취약한 코드가 어떤 릴리스에도 포함되기 전에 수정 사항이 병합되었습니다.
OpenSSL은 존재하는 오픈소스 프로젝트 중에서도 가장 널리 배포되어 있고, 실전에서 검증되었으며, 세심하게 유지관리되는 프로젝트 중 하나입니다. 그럼에도 1998년까지 거슬러 올라가는 이슈를 포함해 12개의 이전에 알려지지 않았던 취약점이 발견될 수 있었다는 사실은, 성숙하고 강하게 감사(audit)된 코드베이스라 하더라도 수동 리뷰가 갖는 한계가 크다는 점을 시사합니다.
인간 리뷰어는 시간, 집중력, 그리고 현대 시스템의 방대한 코드량에 제약을 받습니다. 전통적인 정적 분석은 특정 버그 클래스는 잡아내지만, 복잡한 로직 오류나 타이밍 의존적인 이슈에는 어려움을 겪습니다. 반면 자율적인 AI 기반 분석은 다른 규모로 작동합니다. 인간 리뷰어가 몇 달이 걸려야 커버할 코드 경로와 엣지 케이스를 살펴볼 수 있고, 주기적으로가 아니라 지속적으로 실행됩니다.
그렇다고 해서 AI가 인간의 전문성을 대체할 수 있다는 뜻은 아닙니다. 발견 사항을 검증하고 견고한 수정안을 개발하는 데에는 OpenSSL 유지관리자들의 코드베이스에 대한 깊은 지식이 필수적이었습니다. 하지만 이는 보안의 SLA를 바꿉니다. 자율 발견이 책임 있는 공개와 결합되면, 생태계 전체의 수정까지 걸리는 시간(time-to-remediation) 을 급격히 줄입니다.
CMS부터 QUIC, 포스트-퀀텀 서명까지 8개 이상의 서브시스템에 걸친 우리가 식별한 12개의 OpenSSL 취약점은, (다소 야심 차게도) “사후 패치”에서 벗어나 현대 문명이 의존하는 소프트웨어 기반을 선제적으로 안전하게 만드는 우리의 미션에서 하나의 이정표입니다.
우리 시스템이 이러한 이상 징후를 표시한 순간부터, 우리는 이를 OpenSSL 커뮤니티와의 파트너십으로 접근했습니다. OpenSSL의 조정 보안 보고 프로세스를 통해 상세한 기술 보고서를 제출했으며, 완전한 재현 단계, 근본 원인 분석, 그리고 구체적인 패치 제안까지 포함했습니다. 각 사례에서 우리가 제안한 수정은 OpenSSL 팀의 판단에 참고가 되었거나, 혹은 직접 채택되었습니다.
OpenSSL 재단의 총괄 디렉터(Executive Director) Matt Caswell은 다음과 같이 말했습니다. “널리 배포된 암호 기술을 안전하게 유지하려면 유지관리자와 연구자 간의 긴밀한 조율이 필요합니다. 우리는 AISLE의 책임 있는 공개와, 이러한 이슈 전반에 걸친 높은 수준의 참여에 감사드립니다.”
OpenSSL 팀의 대응은 탁월했습니다. OpenSSL 재단 CTO인 Tomáš Mráz의 리더십 아래, 유지관리자들은 모든 단계에서 기술적으로 참여했습니다. 발견 사항 검증, 패치 정교화, 여러 브랜치에 걸친 릴리스 조정, 다운스트림 배포판과의 동기화가 그 과정에 포함되었습니다.
AISLE의 자율 분석기에 대한 문의는 [email protected]로 연락해 주세요.
이 과정 전반에서 협업해 준 Tomáš Mráz, Matt Caswell, Neil Horman, 그리고 OpenSSL 팀에 감사드립니다. 이 발견에 기여한 AISLE 연구진으로는 Stanislav Fort, Petr Šimeček, Tomas Dulka, Luigino Camastra가 있습니다.
SOC 2
ISO 27001