AI 개발, 편하지만 위험하다…"보안 테스팅 자동화가 핵심"

[디지털데일리 김보민기자] 인공지능(AI)을 활용한 개발이 보편화되면서 검증되지 않은 코드가 대량 생산되기 시작했다. 애플리케이션 보안 전문기업 스패로우는 '보안 테스팅'을 자동화해 위협을 실시간으로 걸러내는 체계가 필요하다고 제언했다.

윤종원 스패로우 최고기술책임자(CTO)는 8일 서울 강남구 코엑스에서 열린 AI 엑스포 한국정보공학기술사회 세미나에서 "보안 테스팅을 자동화해 AI 기반 개발에 녹아들도록 워크플로우를 구성할 때"라고 밝혔다.

이날 스패로우가 발표한 분석 자료에 따르면 AI가 생성한 코드는 최근 46% 규모로 급증했다. 개발자는 단순 코드 작성과 같은 단순 개발 작업을 자동화해 AI로 생산성을 향상시키고 있다. 이로 인해 개발 속도도 약 2배 가속화됐다. 배포 사이클이 빨라질 뿐만 아니라 CI/CD를 자동화하는 것도 간단해졌다. 릴리즈(release) 주기도 단축되는 추세다.

오픈소스에 대한 의존도 높아지고 있다. NPM과 같은 패키지 생태계가 급성장한 데다 한 프로젝트에서 수백·수천개 오픈소스가 활용된 사례도 있다. 윤 CTO는 "소프트웨어(SW) 대부분이 오픈소스를 많이 포함하고 있다"며 "AI가 어떤 오픈소스를 개발에 활용할 수 있는지 찾아주기도 한다"고 분위기를 전했다.

개발 생산성과 속도가 빨라진다는 것은 그만큼 보안 사고와 장애가 발생할 취약점 또한 확대된다는 의미다. 윤 CTO는 "AI가 자동으로 생성한 코드, 즉 검증되지 않은 코드 유입이 증가하고 있다"며 "또한 AI가 항상 안전한 오픈소스만 활용할 것이라는 보장도 없다"고 말했다. 그러면서 "취약한 구성요소 하나가 전체 SW에 영향을 미칠 우려가 존재한다"고 강조했다.

스패로우는 애플리케이션 보안 테스팅을 제언했다. 이러한 보안 테스팅은 생성된 코드와 구성요소에 포함된 취약점을 식별한 뒤 제거하는 과정이다. 전통적인 보안 테스팅으로는 AI가 생성하는 코드 양과 속도를 따라갈 수 없는 만큼, 이를 자동화해 AI 기반 워크플로우에 통합되는 방식도 주목을 받고 있다.

주요국에서는 소프트웨어자재명세서(SBOM)를 대안으로 보고 있다. SBOM은 SW에 포함된 모든 컴포넌트, 라이브러리, 의존성을 목록으로 정리해 기계가 읽을 수 있는 형태로 정리한 명세서다. 취약점 영향 범위를 식별하고 라이선스 컴플라이언스를 관리하는 데 활용된다. 현재 미국, 유럽연합(EU)이 SBOM 기반 규제를 고도화하고 있고 한국은 SW 공급망 가이드라인을 발간해 인식 제고에 나섰다. 정부는 지난해 범부처 정보보호 종합대책을 통해 2027년 공공 SBOM 제도화를 예고하기도 했다.

SBOM 활용 과정은 생성, 보강, 증명, 공유, 검토 등 5단계로 나뉜다. SBOM을 생성한 뒤 데이터를 보강하면 해당 내용이 신뢰할 수 있는 소스에서 생성됐고 변조되지 않았다는 점을 증명하는 방식이다. 이어 SBOM을 수요처에 전달하고 공급사 및 수요사가 SBOM을 검토해 합의하는 단계가 이어진다.

최근에는 코드뿐만 아니라 AI 모델 자체를 포함한 SW도 늘어나고 있어 'AI 자재명세서(AIBOM)'이 필요하다는 의견도 나온다. 이와 관련해 윤 CTO는 "AI 모델에 대한 위험성도 제기되는 만큼 AIBOM 형태로 발전해야 한다고 예측하고 있다"며 "SW에 포함된 AI 모델까지 추적 및 관리하면서 새로운 취약저을 관리할 수 있어야 할 것"이라고 말했다.