구글 딥마인드(DeepMind)가 보안 취약점을 자동으로 탐지하고 수정하는 인공지능 에이전트 '코드멘더(CodeMender)'를 공개했다. 코드멘더는 AI가 독립적으로 소프트웨어의 보안 결함을 찾아내고 즉각적으로 패치하며, 나아가 근본적인 코드 구조까지 개선하는 것을 목표로 개발됐다. 이번 발표는 소프트웨어 보안 분야에서 AI의 역할이 단순 감지에서 실제 수정 단계로 진화하고 있음을 보여주는 사례로 주목받고 있다.

코드멘더는 이전 딥마인드 프로젝트인 '빅슬립(Big Sleep)'과 'OSS-Fuzz'를 기반으로 탄생했다. 여기에 딥마인드의 강력한 신경망 모델인 '제미니 딥씽크(Gemini Deep Think)'와 정적·동적 분석, 퍼징(fuzzing), 상징적 추론(symbolic reasoning) 등 복합적인 기법이 결합돼 기존 AI 보안 도구와는 차별화된 성능을 보인다. 딥마인드는 코드멘더가 자율적으로 보안 결함을 수정함으로써 개발자들이 본연의 창의적 작업에 집중할 수 있도록 돕는다는 점을 강조한다.

연구 단계임에도 불구하고 코드멘더는 이미 72건의 오픈소스 보안 패치를 제출했으며, 450만 줄 이상의 코드에서 결함을 수정하는 데 성공했다. 특히 2023년 iOS 장치에서 발생한 제로클릭 해킹 공격에 악용된 이미지 압축 라이브러리(libwebp)를 대상으로, 코드멘더는 취약점이 영구적으로 악용될 수 없도록 구조적인 변경을 가했다.

코드멘더의 내부 구현에는 제안된 코드 변경을 평가하는 '대형언어모델 심사관(LLM judge)'이 포함돼 있어, 기능이 유지되는지, 스타일 가이드라인을 따르는지, 성능 저하가 없는지를 자동으로 검토한 뒤에야 사람이 이를 최종 확인하도록 설계됐다. 딥마인드는 모든 수정사항이 인간 연구진의 검토를 거쳐 최종 반영된다고 밝혔다.

딥마인드 측은 코드멘더가 앞으로 오픈소스 커뮤니티와의 협력을 확대하는 동시에 일반 개발자도 활용할 수 있는 도구로 배포되기를 희망하고 있다. 향후 공개될 기술 논문에서는 코드멘더의 아키텍처와 검증 절차에 대한 세부 내용이 담길 예정이다.

만약 코드멘더가 상용화된다면 기존 정적 분석 도구나 퍼징 툴과 달리, 탐지 이후의 복잡한 수정 과정까지 AI가 자동으로 해결하는 새로운 보안 패러다임을 제시하게 된다. 이는 코드의 양과 복잡성이 기하급수적으로 증가하고 있는 오늘날 소프트웨어 개발 환경에 매우 중요한 전환점이 될 수 있다.