블랙덕, AI 코드·모델 함께 관리하는 보안 방안 제시
생성형 AI가 소프트웨어 개발 현장에 빠르게 퍼지면서 코드 생산 속도는 빨라졌지만, 그만큼 보안 검증과 라이선스 관리, AI 모델 추적의 중요성도 함께 커지고 있다는 분석이 나왔다.
블랙덕은 14일 서울 코엑스에서 열린 ‘KTC&소프트플로우 공동 세미나 : 2026년 보안적합성 검증 및 소프트웨어(SW) 공급망 보안 전략’ 세미나에서 ‘AI가 만든 코드와 AI 모델을 함께 관리하는 블랙덕의 애플리케이션 보안 방안‘을 소개했다.
블랙덕이 제시한 AI 시대 애플리케이션 보안의 핵심은 ▲AI가 생성한 코드의 보안성과 컴플라이언스 ▲거대언어모델(LLM)과 AI 모델의 안전한 통합 ▲AI를 활용해 더 빠르고 쉽게 안전한 코드를 개발하는 방법 세 가지다. 제병주 블랙던 세일즈 엔지니어 부장은 “AI를 쓰면 더 많은 코드를 빠르게 만들 수 있지만, 그렇다고 해서 그게 더 좋은 코드라고 할 수는 없다”며 “적절한 보안 검증이 효율적으로 이뤄지는 게 중요하다”고 설명했다.
지난해 8월 국제 시장조사기관 센서스와이드(Censuswide)가 진행한 조사에 따르면, 응답 기업의 89.3%는 이미 AI 코딩 도우미를 사용하고 있었고, 96.1%는 오픈소스 AI 모델을 제품에 통합하고 있었다. 반면 21.1%는 AI가 코드에 보안 취약점을 만들지 못하게 막을 자신이 없다고 답했다. 개발 환경 내 AI 도입은 이미 보편화됐지만, 거버넌스는 그 속도를 따라가지 못하고 있는 것이다.
제 부장은 AI가 생성한 코드가 새로운 위험을 만든다고 봤다. 학습에 쓰인 코드의 품질을 확인하기 어렵고, 환각 현상으로 그럴듯하지만 잘못된 코드가 나올 수 있기 때문이다. 블랙덕이 제시한 한 조사에 따르면, 깃허브 코파일럿이 생성한 코드의 약 35%에 취약점이 포함됐다. 제 부장은 “AI의 보안 역량이 들쭉날쭉한 만큼, 생성 코드를 그대로 신뢰하지 말고 정적 애플리케이션 보안 테스트(SAST) 같은 기존 검증 절차가 꼭 필요하다”고 강조했다.
또한 그는 라이선스와 지식재산권 문제도 별도 위험으로 짚었다. AI가 오픈소스를 학습해 유사 코드를 만들어낼 경우, 개발자가 모르는 사이 저작권이나 라이선스 충돌이 생길 수 있다는 것이다. 제 부장은 “AI를 통해 생성한 코드가 어디부터 어디까지인지 관리할 수 있어야 한다”며 “블랙덕은 블랙덕 SCA(Black Duck SCA)로 오픈소스 구성요소와 라이선스, 취약점을 추적하고, 코드 조각 분석으로 유사 코드를 비교하는 방식을 사용하고 있다”고 설명했다.
제품 안에 들어가는 LLM과 AI 모델 자체도 새로운 관리 대상이다. 제 부장은 웹 애플리케이션 보안 분야의 국제 비영리 단체 ‘OWASP(Open Worldwide Application Security Project)가 발표한 ‘LLM 애플리케이션 톱10 2025’ 자료를 인용해 “공급망 취약점과 부적절한 출력 처리는 기존 애플리케이션 보안 솔루션으로 일정 부분 대응할 수 있지만, 프롬프트 인젝션, 민감정보 노출, 데이터 오염 같은 위험은 여전히 대응이 쉽지 않다”고 했다.
여기에 블랙덕이 제시한 대응은 AI를 AI로 보완하는 방식이다. 제 부장은 블랙덕 어시스트(Black Duck Assist)를 코드 보안 특화형 AI 도우미로, 블랙덕 시그널(Black Duck Signal)을 AI 기반 에이전트형 애플리케이션 보안 테스트 도구로 소개했다. 블랙덕 어시스트는 개발자에게 코드의 취약점을 설명하면서 수정 가이드를 제공하고, 블랙덕 시그널은 자연어 지시로 코드를 분석해 자세한 결과를 보여준다.
다만 제 부장은 이런 AI 도구가 아직까지 기존의 SAST나 동적 애플리케이션 보안 테스트(DAST)를 대체할 수 있다고 보지는 않았다. 그는 “블랙덕 시그널이 유용하지만 비용이 높고 속도가 느릴 수 있으며, 결과도 매번 조금씩 달라질 수 있다”고 설명했다. 이어 “그래서 보안 수준이 높은 프로젝트라면 기본적인 애플리케이션 보안 테스트를 먼저 하고, 그 위에 AI 기반 분석을 추가로 얹는 방식이 더 현실적이다”고 덧붙였다. AI는 코드를 빠르게 작성하고 보안을 고려한 설계를 돕는 데 강점이 있지만, 기존 도구는 기준에 따라 취약점을 분류하고 정확하게 점검하는 데 강점이 있다는 것이다.
아울러 제 부장은 지난 7일 앤트로픽이 발표한 AI 모델 ‘클로드 미토스 프리뷰(Claude Mythos Preview)’의 취약점 탐지 능력에 대해 “미토스가 취약점을 잘 찾고 패치까지 제안한다고 알려졌지만, 아직 제한 공개 단계여서 실제 성능과 활용 가능성은 더 확인이 필요해 보인다”며 “공개가 되면 (블랙덕도) 직접 써보고 검증해봐야 할 것 같다”고 말했다. 앤트로픽은 4월 7일 미토스 프리뷰를 공개하며, 이를 일반 공개가 아닌 제한 공개 연구 프리뷰로 운영한다고 밝혔다. 앤트로픽은 미토스 프리뷰를 활용해 취약점 탐지와 수정 작업을 진행하는 ‘프로젝트 글래스윙(Project Glasswing)’도 함께 발표한 바 있다.
블랙덕은 애플리케이션 보안과 오픈소스 보안 솔루션을 제공하는 기업이다. 블랙덕은 자사 애플리케이션 보안 포트폴리오를 ‘트루 스케일 애플리케이션 보안(True Scale Application Security)’으로 소개하고 있으며, 폴라리스(Polaris), 커버리티(Coverity), 블랙덕 SCA, 블랙덕 어시스트, 블랙덕 시그널 등을 앞세워 AI 시대 소프트웨어 공급망 보안 시장을 공략하고 있다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network
