FFmpeg, 21개 제로데이 발견... LLM 보안 분석의 현주소

댓글에서는 LLM이 수천 개의 버그 리포트를 쉽게 생성할 수 있지만, 실제 버그 수정(Bug Fixing)이 어렵다는 지적이 있습니다. Depthfirst의 보안 에이전트는 재현 가능한 PoC(Proof of Concept)를 생성하여 실제 취약점을 증명하고, 이를 통해 94%의 높은 PR(Pull Request) 수락률을 기록했다고 주장합니다. 하지만 일부에서는 LLM의 결과가 환각(Hallucination)을 일으키거나, 근본적인 원인 분석이 부족하다는 비판도 존재합니다.

FFmpeg는 과거부터 수많은 메모리 손상 버그가 발견되어 온 역사가 있습니다. 커뮤니티에서는 샌드박싱(Sandboxing) 없이 신뢰할 수 없는 입력을 처리하는 것은 불합리한 위험(Unreasonable Risks)을 감수하는 것이라고 지적합니다. 특히 1.5백만 라인의 최적화된 C 코드와 복잡한 미디어 포맷 파싱 로직은 보안 취약점(Security Vulnerabilities) 발생 가능성을 높이는 요인으로 분석됩니다.

일부 댓글에서는 이번에 발견된 취약점들이 실제 제로데이(Zero-day)가 아니라고 주장하며, 해당 용어 사용에 대한 비판이 제기되었습니다. 제로데이는 공개되지 않은 취약점을 의미하지만, 본문에서 언급된 CVE ID들은 이미 할당되었거나 할당될 예정인 것으로 보입니다. 그럼에도 불구하고, 실제 익스플로잇(Exploit) 가능성을 입증했다는 점에서 심각성을 강조하려는 의도로 해석됩니다.

발견된 취약점 중 AV1 RTP depacketizer의 힙 버퍼 오버플로우(Heap Buffer Overflow)는 RTSP 스트림을 통해 네트워크에서 직접 트리거될 수 있습니다. 공격자는 단일 패킷으로 제어 흐름 탈취(Control Flow Hijacking)가 가능하며, 이는 ASLR(주소 공간 배치 무작위화)과 같은 방어 기제를 우회할 수 있는 강력한 익스플로잇 프리미티브(Exploit Primitive)를 제공합니다. 이 버그는 2024년 AV1 RTP depacketizer 추가 시점부터 존재했습니다.

Depthfirst는 자체 보안 에이전트를 통해 발견된 21개의 제로데이 취약점 분석에 약 $1,000의 비용이 들었다고 밝혔습니다. 이는 Google이나 Anthropic이 사용한 방식 대비 10% 수준으로, 비용 효율성(Cost-Effectiveness) 측면에서 LLM 기반 분석의 강점을 보여줍니다. 또한, 데이터 격리 아키텍처(Data Isolation Architecture)를 통해 잠재적 공격 경로를 추적하고, 데이터 미저장 정책(Zero-Retention Policy)을 준수하며 분석을 수행했다고 설명합니다.