리눅스 재단(Linux Foundation)이 아마존웹서비스(AWS)·앤트로픽·시스코·구글·IBM·JP모건체이스·마이크로소프트·엔비디아·오픈AI·레드햇·보다폰 등 약 20개 기술 기업 및 금융사와 함께 ‘Akrites’ 이니셔티브를 출범했다. Akrites는 AI(인공지능)가 빠른 속도로 코드를 스캔하고 취약점을 찾아내는 시대에 대응해, 오픈소스 소프트웨어의 보안 결함을 공격자보다 먼저 발견·수정하는 것을 목표로 한다.
Akrites 출범의 배경에는 AI가 뒤집어 놓은 공격과 방어의 균형이 있다. 과거에는 오픈소스 코드에서 심각한 취약점을 발견하려면 고도의 전문 지식이 요구됐고, 공격자와 방어자 사이의 기술 격차가 어느 정도 완충 역할을 했다. 그러나 현재 AI 모델은 대규모 프로젝트를 수 주가 아닌 수 분 안에 분석할 수 있으며, 기술 전문성이 낮은 공격자도 정교한 익스플로잇(exploit·취약점 악용 코드)을 만들어낼 수 있게 됐다. 리눅스 재단은 현행 오픈소스 보안 대응 체계를 ‘임시방편식 패치워크(patchwork)’로 규정하고, 각 조직이 동일 패키지를 중복 스캔하거나 같은 취약점을 여러 차례 신고하고, 서로 상충하는 패치를 제출하는 혼란이 반복되고 있다고 지적했다.
Akrites는 이 문제를 해결하기 위해 중앙 전담팀을 구성한다. 이 팀은 취약점 보고를 기밀로 접수·검증하고 오픈소스 유지관리자와 협력해 수정을 조율하는 역할을 맡는다. 특히 유지관리자가 없거나 사실상 방치된 프로젝트에 대해서는 이니셔티브 자체가 필요한 패치를 직접 배포한다는 방침이다. 이를 통해 동일 취약점에 대한 중복 대응을 줄이고, 수정 속도와 품질을 높이는 것이 핵심 전략이다.
오픈소스 소프트웨어는 현대 기술 인프라의 근간을 이루고 있어 보안 결함의 파급력이 크다. 리눅스 커널·파이썬·Node.js 등 수십억 대의 장치와 수많은 기업 시스템이 의존하는 프로젝트들이 소수의 자원봉사 유지관리자로 운영되는 현실에서, AI 기반 공격 도구의 확산은 이 생태계 전체를 위협한다. Akrites는 단순한 취약점 신고 채널이 아니라, 업계 전반이 자원을 공유해 선제적으로 방어하는 구조를 만들겠다는 시도다. 참여 기업 면면에 AI 선도 기업과 클라우드 사업자, 금융 기관이 고루 포함된 것은 이 위협이 특정 산업에 국한되지 않음을 보여준다.
