[지디넷코리아]
“이제는 개발자라는 직책을 잘 사용하지 않습니다. ‘인공지능(AI) 네이티브 엔지니어’라고 부릅니다. 그만큼 AI 모델이나 에이전트를 잘 종합해서 운영해야 하며, AI를 얼마나 잘 활용하고 검증하는지에 대한 개념으로 변화하고 있습니다.”
장일수 스패로우 대표는 11일 개최한 고객 초청 행사 ‘스패로우 애플리케이션 인사이트(SAI) 2026’ 현장에서 세션 발표자로 나서 이같이 밝혔다.
이날 애플리케이션 보안 전문 기업 스패로우는 서울 용산구 나인트리 프리미어 로카우스 호텔에서 SAI 2026을 개최하고 스패로우가 그리는 AI 비전 및 보안 솔루션에 대해 소개했다. 행사는 ‘AI 혁신으로 완성하는 소프트웨어 공급망 보안’을 주제로 열렸다.
이날 장일수 스패로우 대표는 “AI를 사용하면서 기업 내 조직 구성원들은 개발 과정에 있어 직접 개발한 코드나 라이브라러리가 아니기 때문에 세부적인 내용을 파악하지 못한다. 이에 공급망 보안에 대한 위협은 점점 높아진다”며 “어떤 취약점이 존재하는지 라이선스 문제는 없는지 등이 가시화돼 있지 않다. 그렇다 보니 대응이 지연되고 문제가 발생했을 때 조직이 어떻게 대응해야 하는지, 문제점은 무엇인지 파악되지 않는다”고 지적했다.
이어 그는 “결국은 어떤 도구를 활용해 이같은 위협을 사전에 예방해야 하는지에 주목해야 한다”면서 “개발 전주기 과정에 있어 안전성이 자동화돼야 함은 분명하다”고 강조했다.
장 대표는 이날 스패로우가 그리는 공급망 보안을 위한 통합보안 비전에 대해 소개했다. 그는 “많은 사람들이 SBOM(소프트웨어 자재명세서) 리스트만 생성해서 제출하면 공급망 보안이 완료되는 것으로 알고 있지만, 공급망 보안이나 SBOM은 그렇게 간단하지 않다”며 “모든 내용이 실제 맞는지 사람이 검토해야 하고, 공유된 내용들이 왜곡이나 훼손이 없어야 하며, 모든 과정이 시각화돼 있어야 진정한 공급망 보안이라고 할 수 있다”고 말했다.
그는 “외부 오픈소스에서 가져올 때에도 반입 관리 및 분석을 철저히 해야 한다”면서 “또한 코드를 생성할 때 AI를 활용하더라도 AI가 생성한 코드가 보안 취약점은 없는지 확인이 필요하다”고 덧붙였다.
이에 장 대표는 스패로우의 MCP 프로토콜을 활용해 구성된 코드나 공급망 보안 구현 과정에서 안전성을 확보해야 한다고 밝혔다.
그는 “개발자가 직접 짜는 코드는 스패로우 SAST 정적 분석 도구를 활용해 안전성을 검증하고, 이에 대한 SBOM을 생성할 때에도 스패로우 SCA를 활용해야 한다”며 “유통 과정도 자동화할 수 있어야 진정한 공급망 보안”이라고 강조했다.
스패로우 SCA는 소스코드나 바이너리에 포함된 오픈소스를 진단해 라이선스 관련 정보 및 발견된 취약점 정보를 제공하는 오픈소스 관리 솔루션이다. 스패로우 SAST는 소스코드 취약점을 분석해 해결 방안을 제공하는 정적 분석 도구다.
장 대표 발표 이후에는 스페셜 Q&A가 이어졌다. 스페셜 Q&A에는 한국정보보호학회 공급망보안연구회 위원장을 맡고 있는 이만희 한남대 컴퓨터공학과 교수와 장 대표 및 현장에서 제기된 질문에 답변하는 식으로 진행됐다.
장 대표는 이 교수에게 공급망보안 수요자와 공급자가 향후 반영될 공급망 보안 관련 정책에 대응해 어떤 것을 준비해야 하는지 질문했다.
이 교수는 “정부 주도로 공급망 보안 위기관리 체계가 마련될 것으로 보인다. 취약점은 각각 개별 기업이 대응하기에는 한계가 있다. 국가 차원에서 대응하기 위한 체계가 마련될 것”이라며 “올해를 기점으로 공급망 보안 취약점 대응에 원년이 되면서 2027년~2028년부터 본격 시행될 것이다. 오는 24~25일 한국정보보호학회 공급망보안연구회가 개최하는 워크숍에서 대응 방안에 대한 인사이트를 얻을 수 있을 것”이라고 밝혔다.
현장에서는 취약점에 대한 패치가 발표되기 전 해당 취약점을 악용한 공격, 즉 제로데이 공격에 대응하기 위한 방안에 대해 질문이 제기됐다. 질문자는 오리지널 오픈소스를 사용하는 업체들은 AI 시대를 맞아 쏟아지는 취약점에 대응해 제로데이 공격을 어떻게 줄여야 하는지 질문했다.
이와 관련 이 교수는 “개별 기업으로는 취약점을 대응할 수 없다”며 “정부에서 AI 기반 종합 대책을 만들었는데, 주요한 취약점이 발표되면 전 국가적으로 AI 모델 역량을 발취해서 패치하는 것을 추진할 필요가 있다. 우선순위에 따라 패치를 빠르게 만들어 내고 배포하는 체계를 만드는 것이 중요해 보인다”고 말했다.