Google, AI 시대 open source security 강화 위해 새 funding과 defender tooling 확대

취약점 발견에서 remediation 지원으로 축 이동

Google은 2026년 3월 17일 공식 발표를 통해 AI 시대의 open source security 투자를 확대한다고 밝혔다. 회사는 인터넷이 open source software 위에 크게 의존하는 만큼, 이제는 vulnerability를 찾는 것만으로는 충분하지 않고 실제로 fix가 더 빨리 배포되도록 maintainer를 지원해야 한다고 설명했다.

가장 구체적인 조치는 funding이다. Google은 Linux Foundation의 Alpha-Omega Project founding member 자격으로 Amazon, Anthropic, Microsoft/GitHub, OpenAI와 함께 총 $12.5 million을 공동으로 투입한다고 밝혔다. Google 설명에 따르면 이 자금은 Alpha-Omega와 OpenSSF가 운영하며, maintainer가 AI-driven threats에 대응하고, 단순 report 축적이 아니라 실제 remediation으로 이어지게 만들고, 더 강한 security tooling을 직접 활용할 수 있도록 지원하는 데 쓰인다.

Google은 동시에 자사 내부에서 사용해 온 AI security systems도 강조했다. 발표문은 Google DeepMind 계열 도구인 Big Sleep과 CodeMender를 언급하며, 이들이 Chrome처럼 복잡한 software에서도 깊고 exploitable한 vulnerabilities를 찾아내고 수정하는 데 도움을 줬다고 설명했다. 또 Sec-Gemini 같은 연구를 open source projects로 확장하겠다고 밝히며, AI 기반 code security를 내부 실험 수준이 아니라 maintainer용 shared infrastructure로 넓히겠다는 의도를 드러냈다.

이 발표가 중요한 이유는 병목이 달라지고 있기 때문이다. generative AI가 code generation, dependency reuse, automated vulnerability discovery를 키우면서 문제는 취약점 탐지 자체보다 triage와 patching 속도로 이동하고 있다. Google은 funding, maintainer 지원, AI-assisted remediation을 각각 별개가 아니라 하나의 운영 문제로 보고 있다. open source에 기대는 개발팀과 기업 입장에서는 widely used libraries의 약점이 더 빠르게 확산될 수 있는 만큼, defender side의 tooling과 자금 지원이 동시에 커지는 흐름을 주목할 필요가 있다.

Primary source: Google.