기존 보안 스캐너가 자꾸 놓치던 것들
코드에 보안 구멍이 있는지 자동으로 검사해주는 도구를 SAST(정적 분석 보안 테스트, Static Application Security Testing)라고 불러요. 이게 뭐냐면, 프로그램을 실행하지 않고 소스코드 자체를 쭉 훑어서 위험한 부분을 찾아주는 도구예요. 보안팀 없는 작은 개발팀에선 정말 고마운 존재죠.
그런데 기존 SAST에는 고질적인 한계가 있었어요. 대부분 '규칙(룰) 기반'이라는 점이에요. '이런 패턴이 보이면 위험하다'고 미리 정해둔 규칙에 코드를 하나하나 맞춰보는 방식이거든요. 그러다 보니 두 가지 문제가 생겨요. 첫째, 여러 파일에 걸쳐 데이터가 흘러다니다가 마지막에 터지는 '복잡한 로직 취약점'은 잘 못 잡아요. 규칙은 보통 한 군데의 패턴만 보니까요. 둘째, 오탐(false positive, 위험하지 않은데 위험하다고 잘못 알리는 것)이 너무 많아요. '늑대가 나타났다' 경보가 하루에 수십 번 울리니까, 개발자가 지쳐서 진짜 경고까지 무시하게 되는 거죠. 보안에선 이게 제일 무서운 상황이에요.
Aikido가 내놓은 'Code Audit'은 바로 이 지점을 노려요. LLM(거대 언어 모델, 챗GPT 같은 AI의 두뇌)을 활용해서 코드의 '맥락'을 이해하고, 여러 단계에 걸친 복잡한 취약점을 찾아내겠다는 거예요.
규칙 매칭이 아니라 '맥락을 읽는다'는 발상
핵심 차이를 비유로 풀면 이래요. 기존 SAST가 '금지어 목록을 들고 글을 검사하는 검열관'이라면, AI 기반 감사는 '글을 처음부터 끝까지 읽고 의도를 파악하는 편집자'에 가까워요.
예를 들어 사용자가 입력한 값이 A 파일에서 받아져서 B 파일의 함수로 넘어가고, 거기서 또 C 파일의 데이터베이스 쿼리에 들어간다고 해볼게요. 중간에 제대로 걸러주는(검증, validation) 코드가 빠져 있으면 SQL 인젝션 같은 공격이 가능해지는데, 이건 한 파일만 봐서는 절대 안 보여요. 데이터가 흘러가는 '경로(data flow)' 전체를 따라가며 이해해야 보이거든요. AI는 여러 파일을 한꺼번에 읽고 이 흐름을 추적할 수 있어서, 사람이 코드 리뷰하듯 '이 입력값 결국 위험한 데로 흘러가는데?' 하고 짚어내는 식이에요. 단순 패턴이 아니라 '의미'를 본다는 게 핵심이죠.
업계 맥락 — AI 보안 스캐너 경쟁이 본격화됐어요
사실 이 흐름은 Aikido만의 것은 아니에요. 지금 보안 도구 업계 전체가 AI로 빠르게 갈아타는 중이거든요. 룰 기반의 강자였던 Semgrep도 AI 기능을 붙이고 있고, Snyk, GitHub의 CodeQL, 그리고 Socket이나 Corgea 같은 신생 업체들도 LLM으로 취약점을 찾고 자동으로 고쳐주는(auto-fix) 기능을 앞다퉈 내놓고 있어요. 큰 그림에서 보면 'AI가 코드를 쓰는 시대가 됐으니, 그 코드를 검사하는 일도 AI가 한다'는 자연스러운 흐름이에요. 사람이 작성하든 AI가 작성하든, 쏟아지는 코드량을 사람 손으로 다 리뷰하는 건 불가능해졌으니까요.
다만 짚어둘 점도 있어요. LLM은 그럴듯하게 틀린 답(환각, hallucination)을 내놓을 수 있어서, AI가 '안전하다'고 한 게 진짜 안전하다는 보장은 아니에요. 오탐을 줄여준다지만, 반대로 진짜 취약점을 '괜찮다'고 넘겨버리는 미탐(false negative)도 경계해야 하고요. 그래서 이런 도구의 가치는 '사람을 대체'하는 게 아니라 '사람이 봐야 할 우선순위를 좁혀준다'는 데 있어요.
한국 개발자에게 주는 시사점
실무에 바로 연결지어 보면, 이런 도구는 CI/CD 파이프라인(코드를 합치고 배포하는 자동화 과정)에 끼워넣어서 'PR 올릴 때마다 자동 보안 검토'를 돌리는 데 잘 맞아요. 특히 전담 보안 인력이 없는 스타트업이나 소규모 팀에게는 든든한 1차 방어선이 될 수 있죠.
대신 도입할 때 마음가짐이 중요해요. 'AI가 통과시켰으니 안전하다'는 방심(보안 용어로 false sense of security, 잘못된 안도감)이 제일 위험하거든요. 이런 도구는 어디까지나 사람 리뷰를 '돕는' 보조 장치로 두고, 핵심 로직과 인증·결제 같은 민감한 부분은 여전히 사람이 직접 확인하는 습관을 유지하는 게 좋아요. 그리고 우리 코드가 외부 AI 서비스로 전송되는 구조라면, 회사 코드의 보안·프라이버시 정책에 맞는지도 꼭 따져봐야 하고요.
마무리
한 줄로 정리하면, 'Aikido Code Audit은 규칙 매칭의 한계를 넘어, AI가 코드의 맥락과 데이터 흐름을 읽어 복잡한 취약점을 찾는 차세대 SAST 흐름의 한 사례'예요.
여러분은 어떠세요? AI 보안 스캐너, 팀의 코드 리뷰 부담을 진짜로 덜어줄 무기가 될까요, 아니면 '괜찮다'는 말만 믿었다가 오히려 방심을 부르는 양날의 검이 될까요?
🔗 출처: Hacker News
"비전공 직장인인데 반년 만에 수익 파이프라인을 여러 개 만들었습니다"
실제 수강생 후기- 비전공자도 6개월이면 첫 수익
- 20년 경력 개발자 직강
- 자동화 프로그램 + 소스코드 제공