모질라, 마이소스로 발견된 271개 취약점에 '거짓 긍정 거의 없음' 발표

Mozilla이 자사 보안 팀의 발표를 통해 AI 기반 취약점 탐지 도구 Mythos가 Firefox 코드베이스에서 271개의 실제 취약점을 발견했으며, 그중 오탐(false positive)이 "거의 없었다"고 밝혔습니다. 이는 정적 분석(SAST) 도구의 고질적 한계였던 높은 오탐률을 LLM 기반 추론으로 극복했다는 의미에서 주목할 만합니다. Mythos는 단순 패턴 매칭이 아니라 코드의 의미적 흐름(semantic dataflow)을 LLM이 이해하도록 설계되어, use-after-free, double-free, 경계 검사 누락 같은 메모리 안전성 결함을 함수 호출 그래프 전체 맥락에서 추적합니다. Firefox는 Rust로 점진적 마이그레이션 중이지만 여전히 수백만 줄의 C++ 코드를 보유한 대규모 프로젝트라는 점에서, 이런 코드베이스에서 271건의 진짜 버그를 잡아냈다는 건 AI 보조 보안 분석이 production-grade 수준에 도달했다는 신호입니다.

엔지니어 입장에서 가장 중요한 변화는 **보안 리뷰의 비용 구조**가 바뀐다는 점입니다. 기존 Coverity, CodeQL, Semgrep 같은 도구는 오탐률이 30~70%에 달해 보안팀이 트리아지에 막대한 시간을 쏟아야 했고, 결국 알람 피로(alert fatigue)로 진짜 취약점을 놓치는 경우가 많았습니다. Mozilla의 "completely bought in" 발언은 단순 도입을 넘어 **CI/CD 파이프라인의 게이트키퍼로 LLM 기반 도구를 신뢰하기 시작했다**는 의미로 해석됩니다. 이는 GitHub의 Copilot Autofix, Google의 BigSleep, Meta의 CyberSecEval 등과 같은 흐름이며, 향후 1~2년 내에 OSS 프로젝트의 표준 보안 워크플로우가 "AI 1차 스크리닝 → 휴먼 검증" 구조로 재편될 가능성이 큽니다.

한국 개발자가 당장 행동할 수 있는 영역은 세 가지입니다. 첫째, 자신이 사용하는 OSS 의존성(특히 C/C++ 기반 라이브러리)이 이런 AI 보안 검사를 받고 있는지 점검하고, 그렇지 않다면 SBOM(Software Bill of Materials) 기반 취약점 모니터링을 강화해야 합니다. 둘째, 사내 코드베이스에 도입할 때는 ZeroPath, Socket, Endor Labs, Snyk DeepCode 같은 LLM 기반 SAST 솔루션을 PoC로 평가해보되, **반드시 자사 코드에서 오탐률을 직접 측정**해야 합니다. Mozilla 사례는 Firefox라는 잘 정제된 코드베이스 결과이며, 레거시가 많은 사내 시스템에서는 결과가 크게 다를 수 있기 때문입니다. 셋째, 보안 엔지니어 직군의 역할이 "취약점 발견자"에서 "AI 출력 검증자 + 컨텍스트 판단자"로 이동하고 있다는 점을 인지하고, LLM의 추론 한계와 hallucination 패턴을 이해하는 역량을 키울 필요가 있습니다.

마지막으로 이 흐름의 이면도 봐야 합니다. AI가 방어자에게 271개의 버그를 알려준다면, 같은 기술이 공격자 손에 들어갔을 때 동일한 효율로 0-day를 발굴할 수 있습니다. Project Zero의 BigSleep이 이미 SQLite에서 실제 익스플로잇 가능한 취약점을 자율 발견한 사례가 있고, Mythos급 도구가 오픈소스화되거나 유출될 경우 공격-방어의 비대칭성이 급격히 변할 수 있습니다. 따라서 개발자는 단순히 "AI가 보안을 도와준다"는 낙관을 넘어, **패치 적용 속도를 높이고, 메모리 안전 언어(Rust, Go)로의 마이그레이션을 가속화하며, 공격 표면을 최소화하는 설계**를 동시에 추진해야 합니다. AI 보안 도구는 마법이 아니라 군비경쟁의 새로운 라운드입니다.