"AI생성 코드 45% 보안테스트 통과 못해...SCA 도구 등 필요"

"'미토스' 등으로 취약점을 찾는 데 활용할 수 있는 막연한 기대와 공격을 더 받을 수 있다는 막연한 우려가 공존하는 상황입니다. 이럴 때일수록 스패로우가 제시하는 것처럼 이미 검증된 도구와 신뢰할 수 있는 인공지능(AI) 기능(서비스)로 통제 가능한 플랫폼을 구축해서 운영하는 것이 최선의 방법입니다" 장일수 스패로우 대표는 15일 파수AI가 개최한 'FDI 심포지엄 2026'에서 세션 발표를 통해 이같이 밝혔다. 이날 장 대표는 자사 시큐어 코딩 에이전트인 '스패로우 AI'를 공개하며 AI를 활용한 안전한 소프트웨어 개발 방안을 소개했다. 장 대표는 생성형 AI를 이용한 코딩의 보안 관점 문제로 ▲취약한 코드 생성 ▲민감 데이터 및 코드 유출 ▲AI 하이재킹(프롬프트 인젝션, 세션·모델 탈취) ▲정책 및 컴플라이언스 미준수 등을 제시했다. 실제로 AI가 생성한 코드의 약 45%가 보안 테스트를 통과하지 못하고 국제 웹 보안 분야 비영리 재단 OWASP가 선정한 톱10 취약점을 포함한 것으로 나타났다. 이에 장 대표는 AI 에이전트에 SAST(소스코드 보안 약점 및 품질 분석도구), SCA(오픈소스 관리 도구) 등 보안 도구를 결합해 활용해야 한다고 재차 강조했다. 스패로우 AI는 AI 에이전트를 활용한 개발 과정에서 발생할 수 있는 위험도와 정책 미준수 등 위험 요소를 사전에 포착할 수 있도록 돕는다. 장 대표는 "위험도, 규칙 설명, 신뢰지수, 자산 중요도 등을 종합한 우선순위 점수도 산출해 체계적인 조치를 할 수 있도록 지원하기 때문에 보안조치 효율을 높일 수 있다는 장점이 있다"면서 "아울러 조직별 보안정책 및 개발 환경에 맞는 기준을 설정해 정책 준수 여부도 돕는다. 시큐어 코딩(안전한 코딩)을 위한 AI 도구"라고 밝혔다.