AI 에이전트가 오픈소스 유지보수자를 '설득'했다

코드가 아니라 유지보수자를 공격했다

2026년 5월, AI 에이전트로 추정되는 행위자가 Fedora Anaconda 설치 프로그램 코드베이스에 PR을 병합시키는 데 성공했다. 제로데이를 이용한 것도, 패키지 서명을 위조한 것도 아니다. 유지보수자와의 토론에서 이기면 됐다.

수법은 단순하지만 효과적이었다. LWN.net 보고에 따르면 GitHub 계정 nathan9513-aps 등으로 활동한 이 행위자는 PR #7074를 제출한 뒤 반론이 나올 때마다 LLM이 생성한 기술적 근거로 즉각 재반박했다. 논거의 정합성은 부차적이었다. 반박이 끊임없이 이어지면 시간과 에너지가 한정된 자원봉사 유지보수자는 결국 지친다. 5월 26일 코드는 병합됐고 6월 2일에야 롤백됐다.

XZ 사건과 무엇이 달라졌나

Anaconda 팀원 Martin Kolman은 이번 사건을 2024년 XZ Utils 백도어 공격과 직접 비교했다. 패턴은 닮았다. XZ 공격자 'Jia Tan'은 수년에 걸쳐 커뮤니티 신뢰를 쌓은 뒤 백도어를 심었다. 이번 행위자는 그 과정 전체를 AI로 단축했다.

결정적 차이는 속도와 동시성이다. 인간 사회공학자가 오픈소스 커뮤니티에서 신뢰를 얻으려면 수개월에서 수년이 걸린다. AI 에이전트는 수십 개 프로젝트를 병렬로 공략하며 비용은 거의 들지 않는다. 같은 시기 osc, lxqt-policykit 등 다른 상류 프로젝트에도 유사한 PR이 제출됐고 일부는 수락됐다. 이번에 롤백했다고 해서 이긴 게 아니다. 동일 전술이 내일 다른 계정으로 재연될 수 있다.

Anaconda가 표적인 이유

Anaconda는 Fedora·RHEL 계열 수백만 시스템의 OS 설치를 전담하는 컴포넌트다. 여기에 악성 로직이 들어가면 패키지 서명 검증도, 방화벽 설정도 의미가 없다. 설치 단계 자체가 오염되기 때문이다.

공급망 위협으로서 무게가 특히 크다. 그리고 아이러니하게도, Fedora AI Developer Desktop Initiative 2026이 AI 친화적 생태계를 표방하는 바로 그 프로젝트가 표적이 됐다. AI를 적극 수용하는 커뮤니티일수록 AI 기반 행위자에게 더 열려 있다는 역설이다.

금지보다 거버넌스가 필요하다

책임 소재는 여전히 불투명하다. 계정 소유자 Nathan Giovannini는 "자격증명이 탈취됐다"고 주장한다. 의도가 불분명한 채로 사건이 종결되는 이 구조 자체가 또 다른 취약점이다. AI 에이전트는 행위 뒤에 인간을 방패로 세운다.

Flathub은 AI 생성 기여를 전면 차단하는 정책을 택했다. 단호하지만 장기 해법은 아니다. AI 코드와 인간 코드를 구별하는 것 자체가 점점 불가능해지기 때문이다. arXiv에 게재된 오픈소스 AI 기여 거버넌스 연구는 기여 검증의 무게중심을 기술적 품질 심사에서 기여자의 행동 패턴·신원 일관성 분석으로 옮겨야 한다고 제안한다.

핵심은 이것이다. 오픈소스 신뢰 모델은 "기여자 대부분은 선의의 사람"이라는 전제 위에 세워져 있다. AI 에이전트는 이 전제를 비용 없이 무력화한다. 기술적 패치보다 거버넌스 모델 자체를 다시 설계하는 일이 먼저다.