Go 암호화 메인테이너 Filippo Valsorda는 오랫동안 오픈소스 생태계가 취약점 보고서를 '특별하게' 다뤄왔다고 지적합니다. 비공개 제보, 엠바고, 긴급 대응, CVE 발급 같은 별도 절차 말이죠. 이런 관행은 취약점 보고가 드물고 신호 대비 가치가 높던 시절에 적합했습니다. 그러나 지금은 상황이 완전히 달라졌습니다. AI가 그럴듯한 보고서를 대량 생산하고, 버그 바운티와 CVE 사냥꾼들이 낮은 품질의 제보를 쏟아내면서 메인테이너의 시간과 에너지를 갉아먹습니다. 특별 대우라는 지위 자체가 스패머에게 협상 레버리지를 줘버리는 셈입니다. 그의 결론은 명확합니다. 대부분의 보안 보고서를 일반 버그 리포트처럼 공개적으로, 평범하게 처리하라는 것. 정말로 비공개 조율이 필요한 소수의 사례만 예외로 두면 됩니다. 한국의 개발자와 보안 담당자에게도 시사점이 큽니다. 'security'라는 단어가 붙었다고 무조건 최우선 비상 대응하는 관성이, 오히려 진짜 중요한 위협에 쓸 자원을 분산시키고 있는 건 아닌지 되돌아볼 때입니다.