오픈소스 소프트웨어의 버그를 발견해 신고하는 연구자에 대한 인터넷 버그 바운티 팀의 보상 지급이 중단된다. 프로그램을 운영하는 해커원(HackerOne)은 오픈소스 보안을 더 효과적으로 처리할 방법을 모색하는 동안 “제출을 일시 중단”한다고 밝혔다.

여러 주요 소프트웨어 기업의 후원으로 2012년부터 운영된 인터넷 버그 바운티 프로그램은 버그를 신고한 연구자에게 총 150만 달러 이상을 지급해왔다. 지금까지 지급액의 80%는 새로운 결함 발견에, 20%는 수정 지원에 쓰였다. 그러나 AI가 버그 탐색을 용이하게 만들면서 이 균형을 바꿔야 한다고 해커원은 밝혔다.

해커원은 성명에서 “AI 지원 연구가 생태계 전반의 취약점 발견을 확장하고 커버리지와 속도를 모두 높이고 있다”며 “오픈소스에서 발견과 수정 역량 간의 균형이 실질적으로 달라졌다”고 밝혔다.

가장 먼저 영향을 받는 프로젝트 중 하나는 방대한 생태계로 잘 알려진 서버 사이드 자바스크립트 웹 애플리케이션 플랫폼 Node.js다. 프로젝트 팀은 해커원을 통한 버그 신고 접수와 분류를 계속하지만, 인터넷 버그 바운티 프로그램의 지원금 없이는 더 이상 보상을 지급하지 않는다고 공식 웹사이트를 통해 밝혔다.

인터넷 버그 바운티 프로그램만 이런 어려움을 겪는 것이 아니다. 1월 Curl 프로그램은 더 이상 제출을 받지 않겠다고 선언했고, 바로 지난달에는 구글도 오픈소스 소프트웨어 취약점 보상 프로그램에 대한 AI 생성 제출물 접수를 중단했다. AI가 불러온 버그 제출 급증의 파장이 오픈소스 보안 생태계 전반으로 번지고 있다.
dl-itworldkorea@foundryco.com