장일수 스패로우 대표가 11일 서울 용산 나인트리 프리미어 로카우스 호텔에서 열린 스패로우 애플리케이션 인사이트(SAI) 2026에서 발표하고 있다. (출처=스패로우)

스패로우 “AI 코딩 시대, SBOM은 생성 코드까지 추적해야”

By곽중희

인공지능(AI) 코딩 시대에는 소프트웨어 자재명세서(SBOM)가 오픈소스뿐 아니라 AI 모델, 프롬프트, 생성 코드까지 추적해야 합니다.

장일수 스패로우 대표는 지난 11일 서울 용산 나인트리 프리미어 로카우스 호텔에서 열린 스패로우 애플리케이션 인사이트(SAI) 2026에서 이 같은 내용을 담은 차세대 통합 공급망 보안 전략을 발표했다.

이날 장일수 대표는 개발 환경이 인공지능(AI) 에이전트, 오픈소스 소프트웨어, 클라우드 네이티브 개발, AI 코딩이 결합된 구조로 바뀌고 있다고 진단했다. 내부 개발 코드만 점검해서는 소프트웨어 구성 전체를 파악하기 어려워졌다는 말이다.

장 대표는 소프트웨어 공급망 보안의 핵심 문제를 세 가지 질문으로 정리했다. 어떤 오픈소스를 쓰는가. 어떤 취약점이 존재하는가. 어떤 라이선스 위험이 있는가다.

운영 중인 시스템에는 수백~수천개의 오픈소스 패키지가 포함될 수 있다. 사용 중인 라이브러리에 공개 공통 취약점 및 노출(CVE)이 부여된 취약점이 있어도 이를 실시간으로 파악하고 조치하지 못하면 대응이 늦어진다. GPL 등 카피레프트 라이선스가 포함된 코드를 상업 서비스에 무단 사용하면 저작권 분쟁이나 소스 공개 의무 문제가 발생할 수 있다.

장 대표는 이 문제가 가시성 부재, 대응 지연, 책임 소재 불명확으로 이어진다고 봤다. 어디에 무엇이 있는지 알 수 없고, 취약점을 확인해도 조치 범위를 파악하는 데 시간이 걸리며, 관리 주체도 명확하지 않다는 설명이다.

해법으로는 소프트웨어 자재명세서(SBOM) 관리 범위 확장을 제시했다. 기존 오픈소스 자재명세서(OSS BOM)는 라이브러리, 오픈소스, 의존성 확인에 초점을 맞춘다. AI 자재명세서(AI BOM)는 여기에 AI 모델, 프롬프트, 생성 코드, 데이터를 더한다. 장 대표는 개발 코드까지 포함하는 SBOM을 통해 개발 과정 전체를 기록하고 보안과 컴플라이언스 관리를 통합해야 한다고 설명했다. 컴플라이언스는 기업이 법과 규정, 내부 기준을 지키는 체계를 뜻한다.

장 대표가 제시한 SBOM 생애주기는 생성, 수정·보강, 증명, 상호 검토, 공유로 이어진다. SBOM을 한 번 만드는 데서 끝내지 않고 디지털 서명으로 무결성을 확인해야 한다는 설명이다. 검증·공유 이력도 남겨야 한다. 공급사와 수요사가 같은 정보를 확인할 수 있도록 시각화하는 과정도 포함된다.

스패로우는 공급망 보안을 위한 통합 보안 구조도 제시했다. 코드 생성, 내부 개발, 오픈소스 저장소, 외부 공급 소프트웨어, AI 코딩으로 들어오는 구성 요소를 정적 애플리케이션 보안 테스트(SAST), 소프트웨어 구성 분석(SCA), 시큐어허브(SecureHub), 모델 컨텍스트 프로토콜(MCP)로 점검하는 방식이다. 이후 SBOM 생성, 유통, 디지털 서명, 검증·공유 이력, 정보 시각화로 연결한다.

정적 애플리케이션 보안 테스트는 실행 전 소스코드의 보안 약점을 찾는 방식이다. 소프트웨어 구성 분석은 오픈소스와 외부 라이브러리의 취약점, 라이선스 위험을 확인하는 기술이다. 스패로우 MCP는 AI가 코드를 생성하는 시점부터 보안 검증을 수행하는 방안으로 소개됐다.

장 대표는 “생성형 AI를 통한 코드 생성과 수많은 오픈소스 패키지 활용이 혼재되면서 가시성 부재, 라이선스 리스크, 취약점 대응 지연 등 관리적 한계에 부딪히고 있다”며 “이를 해결하기 위해 AI 모델, AI 생성 코드까지 투명하게 추적할 수 있도록 SBOM 관리 범위를 확장해야 한다”고 말했다.

이어 “생성된 SBOM에 디지털 서명을 추가해 무결성을 검증하고, SBOM을 주고받은 공급사와 수요사를 시각화해 신뢰할 수 있는 공급망 보안 생태계를 구축해야 한다”고 덧붙였다.

SAI는 스패로우의 기존 연례 행사인 파워 유저 콘퍼런스(PUC)를 개편한 행사다. 올해 행사는 ‘AI 혁신으로 완성하는 소프트웨어 공급망 보안’을 주제로 열렸다. 초청 강연에서는 이만희 공급망보안연구회 위원장이 변화하는 공급망 보안 환경과 기업 대응 전략을 발표했다. 이 위원장은 최신 AI 모델의 등장으로 취약점 발견 속도가 빨라지고 있다며 보안 가시성과 개발 전주기 자동화된 보안 테스트 체계가 필요하다고 설명했다.

스패로우는 이번 행사에서 선보인 스패로우 MCP를 조만간 정식 출시할 계획이다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network

일간 바이라인 구독하기

곽중희

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.

[무료 웨비나] IdentityTV 2026: 아이덴티티 보안의 미래를 지금 확인하세요.

일시 : 2026년 7월 9일 (목) 14:00 ~ 15:40