Introduction

2026년 3월 27일, 글로벌 버그 바운티 플랫폼 해커원(HackerOne)은 크라우드소싱 기반의 '인터넷 버그 바운티(IBB)' 프로그램에 대한 신규 취약점 보고 접수를 전면 중단한다고 발표했습니다. 직후 핵심 인프라 프로젝트인 Node.js 역시 IBB의 외부 자금 지원 중단을 이유로 자체 포상금 지급을 잠정 중단했습니다. 이러한 연쇄적인 중단 사태는 단순한 일시적 현상이 아닌 사이버 보안 역사상 중요한 변곡점을 시사합니다. 자율형 AI 코드 스캐너의 확산이 크라우드소싱 보안의 경제 모델을 근본적으로 파괴했으며, 기계가 생성한 보고서의 폭증으로 인해 오픈소스 메인테이너들이 심각한 위기에 직면했기 때문입니다.

Background

2012년 출범 이후 인터넷 버그 바운티(IBB)는 오픈소스 보안의 핵심축 역할을 해왔으며, 인터넷 핵심 인프라의 취약점을 발견한 연구자들에게 150만 달러 이상을 지급해 왔습니다. 12억 달러 규모에 달하는 버그 바운티 시장의 근저에는 '취약점 발견은 희소한 자원'이라는 경제적 전제가 깔려 있었습니다. 견고한 코드베이스에서 치명적인 논리적 결함을 찾아내는 것은 고도의 전문 지식과 집중력, 그리고 수주의 시간이 필요한 작업이었습니다. 따라서 역사적으로 IBB 포상금의 80%는 새로운 취약점을 발견하는 데 지급되었고, 단 20%만이 복구 및 패치 작업에 할당되었습니다.

그러나 이 패러다임은 2025년 말부터 2026년 초에 걸쳐 고도화된 AI 코딩 에이전트와 자율형 '핵봇(Hackbots)'이 등장하면서 완전히 무너졌습니다. 앤스로픽(Anthropic)의 '클로드 미토스(Claude Mythos)'와 같은 모델은 전체 코드베이스를 분석하고 제로데이 취약점을 기존 비용의 극히 일부만으로 찾아내는 능력을 입증했습니다. AI가 취약점 발견의 진입 장벽을 제로(0)에 가깝게 낮추자, 단순히 많은 취약점을 찾아내는 것은 더 이상 경쟁력이 아니라 시스템을 마비시키는 부채가 되었습니다.

Core Analysis: 병목 현상의 이동과 트리아지 피로

IBB의 중단은 구조적 붕괴를 명확히 보여줍니다. 보안 업계는 지난 10년간 파이프라인의 잘못된 부분을 최적화하는 데 집중했습니다. AI는 취약점 발견을 산업화했지만, 이를 해결(Remediation)하는 역량은 여전히 인간의 영역에 머물러 있습니다. 자동화된 스캐너가 불과 몇 시간 만에 수천 개의 보고서를 생성할 수 있게 되면서, 보안 생태계의 병목 현상은 '버그 발견'에서 '검증 및 패치'로 이동했습니다.

자금 지원 없이 자원봉사로 일하는 경우가 많은 오픈소스 메인테이너들은 현재 심각한 트리아지 피로(Triage Fatigue)를 겪고 있습니다. 이들은 포상금을 노린 바운티 헌터들이 제출하는 저품질의 환각성 보고서나 중복된 AI 슬롭(AI Slop)의 행정적 무게에 짓눌려 있습니다. 리뷰 부담은 상상을 초월합니다. 2026년 1월 자체 버그 바운티를 종료한 cURL의 창시자 다니엘 스텐버그(Daniel Stenberg)는 유효한 보고서 비율이 5% 미만으로 급감했다고 지적하며, 바운티 시스템이 메인테이너를 향한 의도치 않은 서비스 거부(DoS) 공격으로 변질되었다고 경고했습니다.

AI 모델이 고품질의 유효한 보고서를 생성할 때조차도 그 엄청난 양은 감당하기 어렵습니다. 최근 2만 달러 미만의 비용으로 진행된 OpenBSD 저장소 AI 스캔은 27년 된 취약점을 포함해 수십 개의 버그를 쏟아냈습니다. 전통적인 바운티 모델의 산술은 더 이상 성립하지 않습니다. AI가 발견한 엄청난 양의 취약점에 지급할 자본이 부족할 뿐만 아니라, 이를 검토하고 검증하여 패치를 병합할 인간의 시간조차 턱없이 부족한 실정입니다.

Industry Impact: 소프트웨어 공급망을 향한 위협

이러한 경제적 불균형의 여파는 기업의 기술 스택 전반으로 퍼지고 있습니다. 생존의 기로에 선 오픈소스 메인테이너들은 외부 기여자들을 향해 문을 닫고 있습니다. 2026년 3월, 유명한 파이썬 프로젝트 커뮤니티인 재즈밴드(Jazzband)는 AI가 생성한 스팸으로 인해 프로젝트를 완전히 종료했습니다. 고스티(Ghostty) 터미널 에뮬레이터나 tldraw 라이브러리 같은 다른 주요 프로젝트들 역시 외부의 풀 리퀘스트(PR)를 제한하거나 엄격한 검증 시스템을 도입했습니다.

npm, PyPI, Go Modules와 같은 레지스트리에 크게 의존하는 기업용 소프트웨어 생태계에서 이러한 메인테이너의 번아웃은 시스템적인 위협이 됩니다. Node.js와 같은 핵심 프로젝트는 더 이상 독립적인 보안 감사를 장려할 버그 바운티라는 재정적 안전망을 갖지 못하게 되었습니다. 북한의 국가 지원 해커를 비롯한 위협 행위자들은 이러한 역학 변화를 정확히 인지하고 있습니다. 자동화된 기계가 만들어낸 소음에 보안팀의 주의가 분산된 사이, 공격자들은 사회공학적 기법을 악용해 과부하에 걸린 메인테이너들을 속이고 핵심 패키지에 악성 코드나 원격 제어 트로이 목마(RAT)를 몰래 주입하는 방식을 취하고 있습니다.

Outlook: 발견이 아닌 수정에 자금을 지원하라

버그 바운티 시장이 완전히 사라지지는 않겠지만, 근본적인 구조 조정이 시급합니다. 2026년 이후의 생태계는 인간의 리서치를 중개하는 방식에서 벗어나, 인간의 검증이 결합된 AI 증강 스캐닝을 조율하는 방향으로 전환될 것입니다. 미래의 바운티 플랫폼은 단순한 취약점 보고서 이상을 요구할 것입니다. 포상금을 받기 위해서는 검증된 패치, 재현 가능한 실행 단계, 그리고 종합적인 맥락 분석이 필수적으로 수반되어야 할 것입니다.

이러한 전환의 조짐은 이미 나타나고 있습니다. 오픈소스 서약(Open Source Pledge)이나 프로젝트 글래스윙(Project Glasswing)과 같은 이니셔티브는 단순한 취약점 발견의 흐름을 장려하는 것을 넘어, 관리형 패치를 통해 누적된 취약점의 재고 문제를 해결하려는 움직임을 보여줍니다. 기계가 아직 완벽히 이해하지 못하는 복잡한 비즈니스 로직 결함이나 새로운 공격 체인에 대한 프리미엄은 더욱 높아질 것이며, 단순한 취약점 발견은 기업 내부의 자동화 도구에 의해 완전히 흡수될 것입니다.

Conclusion

2026년 4월에 발생한 인터넷 버그 바운티의 중단 사태는 시대에 뒤떨어진 모델에 대한 필수적인 교정 과정입니다. 생성형 AI는 취약점 발견이라는 과제를 성공적으로 해결했지만, 그 대가로 오픈소스 기여자들의 무급 노동을 무기화하고 취약점 공개의 경제학을 무너뜨렸습니다. 사이버 보안 업계가 소프트웨어 공급망의 미래를 안전하게 지키기 위해서는 새로운 원칙을 채택해야 합니다. 이제는 문제를 찾아내는 것뿐만 아니라, 이를 어떻게 고칠 것인가에 자본을 투자해야 할 때입니다.