[보안리더] 윤종원 스패로우 CTO "AI 시대에도 '개발 보안' 중요"
인공지능(AI) 바람이 갈수록 거세지고 있다. AI 4대 천왕 중 한 사람인 앤드류 응은 AI를 제 2의 전기라고 했다. 그만큼 AI는 필수불가결하다는 뜻이다. AI는 경쟁력 향상의 툴(도구)이기도 하다. 개인도 기업도 AI를 활용, 경쟁력을 높여야 한다. 개발자도 마찬가지다. 이미 많은 개발자들이 AI 코딩 어시스턴트(GitHub Copilot, ChatGPT, Tabnine, Amazon CodeWhisperer 등)를 실무에서 적극 쓰고 있다. 'AI와 함께 개발하는 시대'인 것이다. 개발자들이 AI 도움을 받으면 생산성과 속도를 높일 수 있다. 단점도 있다. 정확성과 의존성, 법적 문제가 있다. 지난 11일 서울 상암동 사무실에서 만난 윤종원 스패로우 최고기술책임자(CTO)는 "생성형 AI 시대에도 개발 보안에 신경써야 한다"면서 "AI가 보안을 알아서 해주는 게 아니다"고 강조했다. 이어 "생성형AI 시대에도 애플리케이션 보안 테스팅은 여전히 스패로우가 선도(리딩)하고 있다"고 덧붙였다. 윤 CTO가 언급한 '개발 보안(DevSec, Secure Development)'은 소프트웨어(SW)를 만들 때 처음 설계 단계부터 보안 요소를 고려해 개발하는 걸 말한다. 단순히 기능만 구현하는 것이 아니라, 애플리케이션이 안전하게 동작하고 취약점이 최소화되도록 만드는 게 핵심이다. 스패로우(대표 장일수)는 애플리케이션보안 전문기업이다. 소프트웨어 취약점 분석 도구 3종인 ▲Sparrow SAST/SAQT ▲Sparrow DAST ▲Sparrow SCA를 개발해 기업과 기관에 공급하고 있다. 특히 이들 '3총사'는 지난해 공공조달시장 각 부문에서 모두 1위를 기록, 스패로우가 이 분야 최강자임을 다시 입증한 바 있다. 윤종원 CTO는 "생성AI로 만들어낸 코드가 위험하다는 연구 논문이 꽤 있다. 생성AI 시대에도 우리가 공급하는 애플리케이션 보안 툴은 여전히 유효한 제품(솔루션)"이라고 짚었다. 윤 CTO는 대학(연세대)에서 컴퓨터과학을 전공하고, AI로 석사학위를 받았다. 애플리케이션 보안 분야에서 16년간 일해왔다. 2023년 국내최초 통합 애플리케이션 보안 테스팅 솔루션 'Sparrow 엔터프라이즈' 연구개발을 총괄했고, 앞서 2022년에는 국내 최초 테스트 케이스 최적화 솔루션 'Sparrow TSO'도 연구개발을 총괄했다. 국내 첫 클라우드 기반 소스코드 및 웹 취약점 통합 분석 서비스 연구(2020년)도 개발을 총괄했다. 2017년에는 웹 취약점 동적 분석 솔루션 'Sparrow DAST'와 국내최초 런타임 애플리케이션 자가방어 솔루션 'Sparrow RASP' 상용화에 기여했다. 아래는 윤 CTO와 일문일답. -생성형 AI가 소프트웨어 개발에 미치는 영향을 말해준다면? "생성형 AI를 활용한 소프트웨어 개발 시장이 폭발적으로 성장하고 있다. 깃허브 코파일럿(GitHub Copilot), 챗GPT, 클로드(Claude) 등 생성형 AI 도구는 전 세계 개발자의 70% 이상이 활용하며 50% 이상의 생산성 향상을 가져오고 있다. 하지만 그 이면에는 충분히 검토되지 않은 코드가 시스템에 유입될 수 있다는 심각한 보안 위협이 존재한다." -생성형 AI가 보안 취약점이 있는 코드를 생성하는 원인은? "AI가 생성한 코드는 빠르고 효율적이다. 하지만 학습 데이터에 포함된 오래된 코드나 보안 문제가 있는 오픈소스 구성 요소들을 그대로 사용할 수 있어 취약점을 내포할 가능성이 존재한다. AI는 오픈된 코드 저장소나 개발자 커뮤니티 자료를 학습한다. 이 중에는 오래된 보안 취약점이 존재하는 코드도 다수 포함돼 있는데, AI는 이를 '정상적인 패턴'으로 오인하고 재생산할 수 있다 . 더 심각한 문제는 AI 모델이 생성한 코드는 사용되는 시스템의 전체적인 구조나 비즈니스 로직을 완전히 이해하지 못한다는 점이다. 이로 인해 개별 코드 단위에서는 문제가 없어 보이지만, 전체 시스템 관점에서는 의도치 않은 보안 허점을 만들어낼 수 있다. 특히 마이크로서비스 아키텍처와 같이 복잡한 구조를 지닌 소프트웨어에서는 이러한 위험이 더욱 증폭될 수 있다. 또 생성형 AI가 제안하는 오픈소스 등의 라이브러리는 항상 최신 보안 패치가 적용된 버전인 것은 아니다. AI는 학습 시점의 인기 있는 라이브러리를 추천하는 경향이 있지만, 현재 시점에서 해당 라이브러리에 새로운 취약점이 발견될 가능성을 고려하지 못한다." -AI로 생성한 코드의 보안을 보장하기 위해서는 무엇이 필요한가? "가장 간단한 방법은 개발자, 혹은 보안 담당자가 생성한 코드의 보안성을 직접 검토하는 거다. 하지만 AI가 생성하는 코드의 양과 속도는 개발자나 보안 담당자의 수작업으로 검토 할 수 있는 양을 초과한다. 더구나 이러한 코드는 때로는 수십 개의 라이브러리를 포함하고 있어, 모든 버전의 취약점을 일일이 확인하기 어렵다. 전통적인 코드 리뷰만으로는 모든 보안 위험을 식별하기 어려우며, 이 때문에 자동화된 애플리케이션 보안 테스팅 도구의 역할이 더욱 중요해지고 있다. 보안 문제를 초기에 발견해 빠르게 수정하기 위해서는 AI를 활용한 개발 프로세스에 자동화된 애플리케이션 보안 테스팅 단계를 통합해야 한다." -AI로 생성한 코드의 보안을 보장하기 위한 스패로우의 기술과 제품, 서비스 특징을 말해달라 "스패로우의 정적 분석(SAT) 기술과 구성 요소 분석 기술은 소스 코드 혹은 관련된 의존성 정보를 종합적으로 분석해 잠재적인 보안 취약점과 위험한 오픈소스 라이브러리 사용 여부를 정확히 탐지한다. 이를 통해 개발자들은 개발 단계부터 코드 내 보안 취약점을 사전에 식별하고 신속하게 대응할 수 있다. 안전한 소프트웨어 개발 환경을 구축할 수 있는 것이다. 스패로우 분석 기술 특징 중 하나는 다양한 종류의 소스코드 및 개발 산출물에 대해 분석이 가능하다는 점이다. 현대 애플리케이션 개발에 주요하게 사용하는 C/C++, 자바(Java), 자바스크립트(Javascript), 파이선(Python)을 포함해 25개 이상 프로그래밍 언어와 프레임워크의 분석을 지원한다. 또 개발자는 생성형 AI를 통해 소스코드 뿐 아니라 의존성을 포함한 매니페스트 파일까지 생성할 수 있다. 최근 클라우드 네이티브 기반 애플리케이션에서 주목받고 있는 코드형 인프라(IaC)도 마찬가지다. 스패로우는 이처럼 소프트웨어 개발 단계에서 생성될 수 있는 다양한 산출물에 대해 체계적인 분석을 지원한다. 보안 측면에서 소프트웨어 테스팅의 가장 중요한 요소 중 하나는 국내외 컴플라이언스 및 표준 가이드 준수 여부 점검이다. 일반적인 보안 취약점에 대한 대응도 물론 중요하지만, 다양한 국가별·산업별 컴플라이언스 준수 여부도 반드시 확인해야 한다. 스패로우는 국내외 개발 보안과 관련한 컴플라이언스 및 가이드 준수 여부를 점검할 수 있는 다양한 검출 규칙을 함께 제공하며, 생성형 AI를 통해 생성된 코드에 대해서도 철저히 준수 여부를 점검할 수 있다. 무엇보다, 스패로우 보안 테스팅 기술의 가장 큰 특징은 통합 분석 기능이다. 다양한 산출물에 대한 잠재적 소스코드 약점은 물론 취약한 오픈소스 라이브러리의 사용 여부까지 한 번에 통합해 확인할 수 있다. 각 영역에 대해 특화된 여러 기술을 따로 사용하지 않더라도, 스패로우의 보안 테스팅 기술 하나만으로도 개발 단계부터 소프트웨어를 위협하는 보안 취약점에 대해 확인하고 조치할 수 있다. 스패로우는 생성형 AI 기반 개발 프로세스에 보안 테스팅을 원활하게 통합할 수 있는 API 기반 보안 테스팅 기술을 제공한다. 스패로우의 API 기반 보안 테스팅 기술은 스패로우의 고도화된 보안 취약점 분석 기술을 API 형태로 제공함으로써 다양한 개발 환경과 워크플로우에 손쉽게 연동할 수 있다. 이를 통해 개발 조직들은 기존 개발 프로세스를 유지하면서도 AI로 생성된 코드에 대한 즉각적인 보안 검증과 취약점 해결을 동시에 수행할 수 있다." -생성형 AI를 활용한 개발 프로세스에 스패로우가 제공하는 보안 테스팅기술을 효과적으로 결합하는 방식을 소개해달라 "최근 AI 에이전트를 이용한 생성형 AI 기반 개발 방식이 주목받고 있다. 기존의 AI 코딩 서비스들이 개발자의 직접적인 프롬프트에 응답해 코드 조각을 생성하는 수동적인 역할에 머물렀다면, AI 에이전트는 자율적으로 이해하고 계획하며 작업을 실행할 수 있는 소프트웨어 프로그램이다. LLM을 기반으로 도구, 다른 모델, 그리고 시스템의 다양한 측면과 상호작용하며 사용자 목표를 달성하는 능동적 특성을 가진다. 이 과정에서 로우코드 혹은 노코드 방식의 워크플로우 자동화 도구들도 활발히 활용하고 있다. 생성된 코드에 대해 효과적으로 보안 테스팅을 수행하기 위해서는 API를 기반으로 동작하는 자동화된 보안 테스팅 기술이 이러한 워크플로우에 자연스럽게 통합돼야 한다. 스패로우에서 제공하는 API 기반 보안 테스팅 기술을 활용해 생성된 코드에 대해 즉시 취약점 분석을 수행하고, 분석 결과를 AI 에이전트와 연계해 자동 수정 제안, 코드 저장소 내 코멘트, IDE 내 인라인 피드백 또는 메신저 알림 등 다양한 방식으로 사용자에게 전달할 수 있다. 또 검출된 취약점 정보를 다시 한 번 생성형 AI에게 전달해 취약점이 제거된 안전한 코드를 재생성할 수 있다.“ -안전한 생성형 AI 기반 개발을 위한 스패로우의 로드맵은? "스패로우는 보유하고 있는 자동화된 애플리케이션 보안 테스팅 기술을 생성형 AI와 연동하기 적합한 형태로 지속적으로 확장하고 있다. 생성형 AI 활용에 최근 각광받고 있는 것 중 하나는 MCP(Model Context Protocol)다. MCP는 오픈소스로 공개된 표준 프로토콜로, AI 애플리케이션과 외부 데이터 소스 간의 안전하고 표준화된 연결을 가능하게 한다. 이는 AI 애플리케이션을 위한 범용 연결 표준 역할을 하며, AI 모델이 다양한 데이터 소스와 도구에 표준화된 방식으로 연결될 수 있게 해준다. 스패로우는 보안 테스팅 기술을 MCP 서버 형태로도 확장해 생성형 AI 서비스와 보다 원활한 통합을 지원할 계획을 가지고 있다. 이를 활용하면 다양한 생성형 AI 모델이나 외부 서비스와의 표준화된 연결이 가능해진다. 결과적으로 보안 분석 기능을 보다 유연하고 안전하게 생성형 AI 생태계에 통합할 수 있으며, 장기적으로는 다양한 모델 간 상호운용성과 자동화된 보안 체계의 기반을 구축할 수 있다. 또한 스패로우는 머신러닝(ML), 딥러닝(DL), 그리고 소형 언어 모델(sLLM)을 종합적으로 활용한 AI 기술 개발도 진행하고 있다. 이 기술은 스패로우의 보안 테스팅 기술에 기반해 다층적 학습 구조를 통해 가장 효율적이고 안전한 코드를 생성하는 것을 목표로 한다. 특히 기업 내부 데이터의 외부 유출 위험을 원천 차단할 수 있는 폐쇄형 아키텍처를 적용해 민감한 비즈니스 로직이나 보안상 중요한 코드를 처리하는 데에 특화된 환경을 제공한다. 이를 통해 기업들이 보다 안전한 환경에서 AI 기술 이점을 누릴 수 있도록 지원할 계획이다.” -기타 생성형 AI 기반 개발 보안 위험을 최소화하기 위해 스패로우가 제안하는 방안이 있다면 말해달라 "최근 생성형 AI를 비롯한 AI 관련 기술들은 눈부시게 발전하고 있다. 생성형 AI를 활용한 개발은 물론, 오픈소스로 공개된 AI 모델들을 활용한 애플리케이션들이 나날이 새롭게 개발되고 시장에 선보이고 있다. AI 모델을 활용할 때 유의해야 하는 점은 AI 모델에도 취약점이 포함된, 위험한 모델이 존재한다는 것이다. 전통적인 소프트웨어와 달리 AI 시스템은 적대적 공격, 데이터 중독, 프롬프트 인젝션 등의 고유한 보안 위협에 노출돼 있다. 따라서 소프트웨어에 어떤 AI 모델이 사용되고 있는지 식별하고 위험 요소는 없는지 체계적으로 확인해야 한다. 공급망 보안의 중요성이 나날이 커지고 있고, S-BOM을 활용한 구성 요소의 관리 필요성도 증가하고 있다. 하지만 AI 시스템은 전통적인 소프트웨어 구성 요소 외에도 AI 모델 등 더 복잡한 요소들로 구성돼 있다. 이제는 AI 시스템을 구성하는 구성 요소들까지 포함한 AI-BOM으로 확장돼 AI 시스템의 안전한 개발 및 운영을 위한 방안으로 사용돼야 한다. 스패로우는 보유하고 있는 S-BOM 기반의 구성 요소 분석 및 관리 기술을 AI 영역으로도 확장해 AI 시스템의 구성 요소 분석까지 지원하기 위해 발전하고 있다. AI 기술이 적용되는 범위가 나날이 넓어지고 있는 만큼 SBOM 기반의 공급망 관리 기술을 AI-BOM으로 확장해 보다 안전한 소프트웨어 공급망을 구축하기 위해 노력하고 있다."
