스패로우, AI 생성 코드 취약점 분석하는 ‘스패로우 MCP’ 출시

스패로우는 인공지능(AI) 코딩 도구가 생성하거나 수정한 코드의 보안 취약점과 오픈소스 구성요소를 분석하는 ‘스패로우 MCP(Sparrow MCP)’를 출시했다고 23일 밝혔다.

스패로우 MCP는 모델 콘텍스트 프로토콜(MCP)을 이용해 AI 코딩 에이전트와 스패로우의 보안 분석 솔루션을 연결한다. 개발자가 자연어로 분석을 요청하면 AI가 생성하거나 수정한 소스코드와 코드에 포함된 오픈소스를 점검한다.

MCP는 AI 애플리케이션이 외부 데이터와 도구에 일정한 방식으로 연결되도록 만든 개방형 표준이다. 앤트로픽(Anthropic)이 2024년 공개했다. 도구마다 별도의 연동 방식을 개발해야 하는 부담을 줄이는 것이 목적이다.

스패로우 MCP는 클로드 코드와 커서(Cursor) 같은 AI 코딩 에이전트가 사용하는 통합개발환경(IDE)에 연동할 수 있다. 개발자는 기존 개발 환경을 벗어나지 않고 코드 분석을 요청할 수 있다.

제품은 AI가 생성한 코드와 개발자가 지정한 파일을 분석해 소스코드 보안약점을 찾는다. 코드에서 사용한 오픈소스 소프트웨어 구성요소도 식별한다.

오픈소스 분석 결과에는 각 구성요소의 라이선스와 알려진 취약점 정보가 포함된다. 이를 바탕으로 소프트웨어를 구성하는 요소와 관계를 정리한 소프트웨어 자재명세서(SBOM)도 생성한다. 개발자는 이 정보를 이용해 취약한 오픈소스가 포함됐는지 확인하고 라이선스 정책 준수 여부를 점검할 수 있다.

AI 코딩 도구는 학습한 코드와 자연어 데이터를 토대로 새로운 코드를 만든다. 이 과정에서 보안약점이 있는 코드나 취약한 오픈소스가 결과물에 포함될 수 있다. 스패로우는 코드가 생성되는 개발 단계에서 보안 점검을 수행하도록 제품을 설계했다고 설명했다.

장일수 스패로우 대표는 “AI가 코드를 실시간으로 생성하는 환경에서는 코드가 작성되는 시점에 취약점과 오픈소스 라이브러리를 검증할 필요가 있다”며 “AI 개발 과정 안에서 코드 보안을 점검할 수 있도록 지원하겠다”고 말했다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network