소프트웨어 보안 기업 체크막스(Checkmarx)가 최근 새로운 정적 애플리케이션 보안 테스트(SAST) 엔진을 선보였습니다. 이 엔진의 핵심은 단순히 대규모 언어모델(LLM)을 활용하는 것을 넘어, LLM이 생성한 코드의 잠재적 보안 취약점을 식별하고 개발자가 이를 효과적으로 해결할 수 있도록 돕는 '후처리' 과정에 있습니다. 이는 AI 기반 코드 생성 시대에 보안의 중요성을 다시 한번 강조하는 움직임입니다.
체크막스의 새로운 SAST 엔진은 LLM이 생성한 코드에서 발생할 수 있는 오탐(false positive)을 줄이고, 실제 보안 위협을 정확하게 식별하는 데 초점을 맞춥니다. 기존 SAST 도구들은 방대한 양의 경고를 쏟아내 개발자들이 실제 위협과 무관한 경고를 걸러내는 데 많은 시간을 소모하게 했습니다. 하지만 체크막스는 LLM의 분석 능력을 활용해 이러한 비효율성을 개선하고, 개발자들이 보안 문제를 더 빠르고 정확하게 인지하고 수정할 수 있도록 지원합니다. 이는 개발 파이프라인(pipeline)에 보안을 통합하는 '시프트 레프트(shift left)' 전략을 강화하는 데 기여할 것으로 기대됩니다.
이번 체크막스의 발표는 AI 기반 코드 생성 도구의 확산과 함께 보안의 역할이 어떻게 진화해야 하는지를 보여줍니다. LLM이 코드를 빠르게 생성하는 만큼, 그 코드의 보안 취약점을 신속하고 정확하게 검증하는 것이 더욱 중요해졌습니다. 개발자들은 이제 AI의 도움을 받아 코드를 작성하는 동시에, AI가 제시하는 보안 권고를 통해 더 안전한 소프트웨어를 만들 수 있게 될 것입니다. 이는 궁극적으로 소프트웨어 개발 생태계 전반의 보안 수준을 향상시키고, 개발자들이 혁신에 더 집중할 수 있는 환경을 조성하는 데 기여할 것입니다.