AI 강화 정적 분석
AI를 활용하여 전통적인 정적 애플리케이션 보안 테스트(SAST: Static Application Security Testing)를 강화한 보안 도구이다. 전통적 SAST가 미리 정의된 규칙 패턴에 기반하여 코드를 분석한다면, AI-Augmented SAST는 LLM의 코드 이해 능력을 활용하여 맥락을 파악하고, 기존 규칙에 포착되지 않는 새로운 유형의 취약점까지 탐지한다. 예를 들어, 전통적 SAST는 SQL 인젝션 패턴 매칭은 잘하지만, 비즈니스 로직 수준의 권한 우회 취약점은 놓칠 수 있다. AI-Augmented SAST는 코드의 의도와 비즈니스 로직을 이해하여 이러한 고수준 취약점도 탐지할 수 있다. 에이전틱 엔지니어링에서 Security Scanner 에이전트가 이에 해당하며, 에이전트가 PR을 생성할 때마다 AI-Augmented SAST가 자동으로 실행되어 취약점을 스캔하고 결과를 PR 코멘트로 게시한다. 주 1,000건 이상의 PR을 생성하는 환경(Stripe 등)에서는 수동 보안 리뷰가 불가능하므로, 자동화된 AI 보안 스캔이 필수적이다. Snyk, Semgrep, SonarQube 등의 도구가 AI 강화 기능을 추가하고 있다.
영어 표기
AI-Augmented SAST
예시
에이전트가 PR을 생성할 때마다 AI-Augmented SAST가 자동으로 실행되어 취약점을 스캔하고 결과를 코멘트로 게시.
참고
주 1,000+ PR을 생성하는 환경에서는 자동화된 보안 스캔이 필수.
- 카테고리
- 보안·인증
- 난이도
- advanced
- 태그
- SAST · 보안스캔
- 슬러그
- ai-augmented-sast
- 상태
- published
- 정렬 순서
- 176
함께 읽기
연관 용어
보안·인증
쿠키
영어 표기 Cookie
웹사이트가 브라우저에 저장해 두는 작은 데이터 조각이다. 로그인 상태 유지, 장바구니, 언어 설정처럼 다음 방문에도 기억해야 하는 정보를 담을 때 쓰인다. 편리하지만 인증 쿠키를 잘못 다루면 계정 탈취 위험이 생기므로 httpOnly, secure, sameSite 같은 보안 옵션을 함께 이해해야 한다.
보안·인증
세션
영어 표기 Session
사용자가 사이트에 접속해 있는 동안 서버가 유지하는 상태 정보이다. 보통 브라우저에는 세션 ID만 쿠키로 저장하고, 실제 로그인 사용자 정보와 권한은 서버나 데이터베이스에 둔다. 바이브 코딩에서 로그인 기능을 만들 때 세션과 쿠키의 차이를 이해하면 민감한 사용자 정보를 브라우저에 과도하게 저장하는 실수를 줄일 수 있다.
보안·인증
교차 출처 리소스 공유
영어 표기 CORS (Cross-Origin Resource Sharing)
브라우저가 한 출처의 웹 페이지에서 다른 출처의 API를 호출할 때 적용하는 보안 규칙이다. 프론트엔드와 백엔드 도메인이 다르면 서버가 어떤 출처를 허용하는지 응답 헤더로 알려줘야 한다. 바이브 코딩 초보자가 '브라우저에서는 막히는데 터미널 curl은 된다'는 상황을 만날 때 CORS가 원인인 경우가 많다.