AI 강화 정적 분석
AI를 활용하여 전통적인 정적 애플리케이션 보안 테스트(SAST: Static Application Security Testing)를 강화한 보안 도구이다. 전통적 SAST가 미리 정의된 규칙 패턴에 기반하여 코드를 분석한다면, AI-Augmented SAST는 LLM의 코드 이해 능력을 활용하여 맥락을 파악하고, 기존 규칙에 포착되지 않는 새로운 유형의 취약점까지 탐지한다. 예를 들어, 전통적 SAST는 SQL 인젝션 패턴 매칭은 잘하지만, 비즈니스 로직 수준의 권한 우회 취약점은 놓칠 수 있다. AI-Augmented SAST는 코드의 의도와 비즈니스 로직을 이해하여 이러한 고수준 취약점도 탐지할 수 있다. 에이전틱 엔지니어링에서 Security Scanner 에이전트가 이에 해당하며, 에이전트가 PR을 생성할 때마다 AI-Augmented SAST가 자동으로 실행되어 취약점을 스캔하고 결과를 PR 코멘트로 게시한다. 주 1,000건 이상의 PR을 생성하는 환경(Stripe 등)에서는 수동 보안 리뷰가 불가능하므로, 자동화된 AI 보안 스캔이 필수적이다. Snyk, Semgrep, SonarQube 등의 도구가 AI 강화 기능을 추가하고 있다.
예시
에이전트가 PR을 생성할 때마다 AI-Augmented SAST가 자동으로 실행되어 취약점을 스캔하고 결과를 코멘트로 게시.
참고
주 1,000+ PR을 생성하는 환경에서는 자동화된 보안 스캔이 필수.
카테고리
보안·인증
난이도
advanced
태그
SAST · 보안스캔
함께 읽기
연관 용어
보안·인증
JWT
사용자 인증 정보를 JSON 형태로 안전하게 전달하기 위한 토큰 표준(RFC 7519)으로, 서버가 세션 상태를 저장하지 않는 무상태(stateless) 인증 방식이다. 토큰은 헤더(알고리즘·타입), 페이로드(사용자 정보·만료시간), 서명(위변조 방지) 세 부분으로 구성되며, Base64URL로 인코딩되어 점(.)으로 연결된다. AI에게 '로그인 API 만들어줘'라고 하면 높은 확률로 JWT 기반 인증 코드를 생성하는데, 이는 JWT가 구현이 비교적 간단하고 서버리스 환경과 궁합이 좋기 때문이다. 그러나 AI 생성 JWT 코드에서 자주 발생하는 문제들이 있다: 토큰 만료 시간을 설정하지 않거나 지나치게 길게 설정, 리프레시 토큰(refresh token) 메커니즘 누락, httpOnly·secure 쿠키 대신 localStorage에 저장(XSS 취약), 토큰 무효화(로그아웃 시 서버 측 블랙리스트) 미구현, 비밀 키를 코드에 하드코딩 등. 이러한 보안 누락은 AI Slop의 전형적 사례이며, JWT를 사용할 때는 반드시 인간이 보안 측면을 검토해야 한다.
보안·인증
OWASP
Open Worldwide Application Security Project(OWASP)는 2001년에 설립된 비영리 단체로, 웹 애플리케이션 보안에 대한 표준, 가이드라인, 도구, 교육 자료를 무료로 제공한다. 가장 유명한 산출물은 OWASP Top 10으로, 웹 애플리케이션에서 가장 심각한 10가지 보안 위험을 정기적으로 발표한다. 바이브 코딩에서 OWASP Top 10은 AI가 생성한 코드의 보안 검사 체크리스트로 활용된다. 2021년 기준 Top 10: Broken Access Control(접근 제어 실패), Cryptographic Failures(암호화 실패), Injection(인젝션), Insecure Design(안전하지 않은 설계), Security Misconfiguration(보안 설정 오류), Vulnerable Components(취약한 컴포넌트), Authentication Failures(인증 실패), Data Integrity Failures(데이터 무결성 실패), Logging Failures(로깅 실패), SSRF(서버 측 요청 위조). AI가 생성한 코드를 이 10가지 기준으로 검토하면 주요 보안 취약점을 체계적으로 발견할 수 있다. OWASP는 GenAI(생성형 AI) 보안 가이드라인도 발표하고 있어, LLM 기반 앱의 보안(프롬프트 인젝션, 모델 탈옥 등)에도 기준을 제공한다.