AI 개발, 편하지만 위험하다…"보안 테스팅 자동화가 핵심" 작성일 05-08 39 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="P6yxWNkLW1"> <figure class="figure_frm origin_fig" contents-hash="7106a7fdc97bf4f49498c172737ad7ed212073132e7aa85cac2f67fdd70b8549" dmcf-pid="QvMWRpztT5" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202605/08/552796-pzfp7fF/20260508153413994juvy.jpg" data-org-width="640" dmcf-mid="62h4lnaeSt" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/08/552796-pzfp7fF/20260508153413994juvy.jpg" width="658"></p> </figure> <p contents-hash="467da3d3087589b63fc25a3e22a3672bd048e7b809c8d8db6b0343bc67f921fd" dmcf-pid="xTRYeUqFTZ" dmcf-ptype="general">[디지털데일리 김보민기자] 인공지능(AI)을 활용한 개발이 보편화되면서 검증되지 않은 코드가 대량 생산되기 시작했다. 애플리케이션 보안 전문기업 스패로우는 '보안 테스팅'을 자동화해 위협을 실시간으로 걸러내는 체계가 필요하다고 제언했다.</p> <p contents-hash="7a7d7007c0461c8acf1fc0f98ecba17dfb7d5975b1930843be87831be0fafd16" dmcf-pid="yQYRGADgCX" dmcf-ptype="general">윤종원 스패로우 최고기술책임자(CTO)는 8일 서울 강남구 코엑스에서 열린 AI 엑스포 한국정보공학기술사회 세미나에서 "보안 테스팅을 자동화해 AI 기반 개발에 녹아들도록 워크플로우를 구성할 때"라고 밝혔다.</p> <p contents-hash="c7cd378ae739745918a48aca34ddc04395b8ae7063f60a03d55de42a44e4972e" dmcf-pid="WxGeHcwavH" dmcf-ptype="general">이날 스패로우가 발표한 분석 자료에 따르면 AI가 생성한 코드는 최근 46% 규모로 급증했다. 개발자는 단순 코드 작성과 같은 단순 개발 작업을 자동화해 AI로 생산성을 향상시키고 있다. 이로 인해 개발 속도도 약 2배 가속화됐다. 배포 사이클이 빨라질 뿐만 아니라 CI/CD를 자동화하는 것도 간단해졌다. 릴리즈(release) 주기도 단축되는 추세다.</p> <p contents-hash="26e304e6cab885a783a137435e1f6a8f795b7eac47a5e23e6726c59f51a81366" dmcf-pid="YMHdXkrNvG" dmcf-ptype="general">오픈소스에 대한 의존도 높아지고 있다. NPM과 같은 패키지 생태계가 급성장한 데다 한 프로젝트에서 수백·수천개 오픈소스가 활용된 사례도 있다. 윤 CTO는 "소프트웨어(SW) 대부분이 오픈소스를 많이 포함하고 있다"며 "AI가 어떤 오픈소스를 개발에 활용할 수 있는지 찾아주기도 한다"고 분위기를 전했다.</p> <p contents-hash="10d4783e43acb01acaf7ddb4aee1b395ce29e5bcb906543286f040874506b4c5" dmcf-pid="GRXJZEmjlY" dmcf-ptype="general">개발 생산성과 속도가 빨라진다는 것은 그만큼 보안 사고와 장애가 발생할 취약점 또한 확대된다는 의미다. 윤 CTO는 "AI가 자동으로 생성한 코드, 즉 검증되지 않은 코드 유입이 증가하고 있다"며 "또한 AI가 항상 안전한 오픈소스만 활용할 것이라는 보장도 없다"고 말했다. 그러면서 "취약한 구성요소 하나가 전체 SW에 영향을 미칠 우려가 존재한다"고 강조했다.</p> <p contents-hash="004f93349c5cc84b51e1ac3935065f2583957c81f1e39ccae7e7cacfa1236496" dmcf-pid="HeZi5DsAlW" dmcf-ptype="general">스패로우는 애플리케이션 보안 테스팅을 제언했다. 이러한 보안 테스팅은 생성된 코드와 구성요소에 포함된 취약점을 식별한 뒤 제거하는 과정이다. 전통적인 보안 테스팅으로는 AI가 생성하는 코드 양과 속도를 따라갈 수 없는 만큼, 이를 자동화해 AI 기반 워크플로우에 통합되는 방식도 주목을 받고 있다.</p> <p contents-hash="e776d4abd552a9af9afa0922bc4dfff33c68768c44ea867ecdb4755b958e9fbd" dmcf-pid="Xd5n1wOcTy" dmcf-ptype="general">주요국에서는 소프트웨어자재명세서(SBOM)를 대안으로 보고 있다. SBOM은 SW에 포함된 모든 컴포넌트, 라이브러리, 의존성을 목록으로 정리해 기계가 읽을 수 있는 형태로 정리한 명세서다. 취약점 영향 범위를 식별하고 라이선스 컴플라이언스를 관리하는 데 활용된다. 현재 미국, 유럽연합(EU)이 SBOM 기반 규제를 고도화하고 있고 한국은 SW 공급망 가이드라인을 발간해 인식 제고에 나섰다. 정부는 지난해 범부처 정보보호 종합대책을 통해 2027년 공공 SBOM 제도화를 예고하기도 했다.</p> <p contents-hash="2b705c9757aefbb51f7738644e113f3365d56a39f977dfec8602d3aa910396e9" dmcf-pid="ZsfC4ZFYCT" dmcf-ptype="general">SBOM 활용 과정은 생성, 보강, 증명, 공유, 검토 등 5단계로 나뉜다. SBOM을 생성한 뒤 데이터를 보강하면 해당 내용이 신뢰할 수 있는 소스에서 생성됐고 변조되지 않았다는 점을 증명하는 방식이다. 이어 SBOM을 수요처에 전달하고 공급사 및 수요사가 SBOM을 검토해 합의하는 단계가 이어진다.</p> <p contents-hash="23139dfb09abe110c3284c1d95d2cf8fa7e83fb6593404d65ff5b3cea43f9daa" dmcf-pid="5O4h853Ghv" dmcf-ptype="general">최근에는 코드뿐만 아니라 AI 모델 자체를 포함한 SW도 늘어나고 있어 'AI 자재명세서(AIBOM)'이 필요하다는 의견도 나온다. 이와 관련해 윤 CTO는 "AI 모델에 대한 위험성도 제기되는 만큼 AIBOM 형태로 발전해야 한다고 예측하고 있다"며 "SW에 포함된 AI 모델까지 추적 및 관리하면서 새로운 취약저을 관리할 수 있어야 할 것"이라고 말했다.</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.</p> 관련자료 이전 [실제 가보니] "게임 아닌 실전 같았다" 서킷 달군 e스포츠 05-08 다음 “국민 통신사가 이래서야”…KT 갤S25 예약 일방 취소에 방미통위 직격(종합) 05-08 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
