LLM 학습 데이터가 야기하는 소스 코드 취약점 원천 통제
SBOM 자동 생성 및 통합개발환경(IDE) 연동으로 소프트웨어 공급망 리스크 차단

[보안뉴스 조재호 기자] 스패로우는 AI 모델의 안전한 코드 생성을 돕는 전용 보안 어시스턴트 ‘스패로우(Sparrow) MCP’를 공식 출시했다고 23일 밝혔다.



최근 클로드 코드나 커서 등 AI 코딩 에이전트의 확산으로 개발 속도가 급속도로 향상되면서 이에 비례한 보안 검증이 핵심 과제로 떠올랐다. 이에 스페로우는 모델 컨텍스트 프로토콜(MCP) 기반의 차세대 보안 사업을 본격화할 계획이다.

AI 코딩 에이전트는 방대한 학습 데이터를 기반으로 코드를 자동 생성한다. 이 과정에서 학습 데이터에 내재된 보안 약점이나 취약한 오픈소스 라이브러리가 기업의 실제 소스 코드에 여과 없이 반영될 위험이 있다. 이 때문에 AI가 생성한 코드 자체가 사이버 공격의 새로운 파이프라인으로 악용될 소지가 커진다. 생산성 향상의 이면에서 통제 범위를 벗어난 거대한 잠재적 취약점을 기업이 떠안는 것이다.

스패로우는 이러한 한계를 극복하기 위해 자연어 요청만으로 AI 생성 코드를 즉시 분석하는 ‘스패로우 MCP’를 고안했다. 이 솔루션은 앤트로픽이 발표한 표준 프로토콜을 활용해 개발자의 통합개발환경(IDE)과 직접 연동되며, 코드가 작성되는 즉시 취약점 유무를 검증한다.

또 코드에 포함된 오픈소스 소프트웨어 컴포넌트를 실시간 식별해 라이선스 및 취약점 정보를 제공하고 소프트웨어 자재명세서(SBOM)를 자동 생성해 구성 요소를 명확히 가시화한다. 이에 따라 기업은 개발 초기 단계부터 라이선스 정책을 준수하고 연쇄적인 소프트웨어 공급망 리스크를 사전에 예방하는 ‘보안 내재화’ 거버넌스를 확립할 수 있게 됐다.

장일수 스패로우 대표는 “AI가 코드를 실시간으로 생성하는 환경에서는 코드가 작성되는 즉시 취약점과 오픈소스 라이브러리를 검증하는 선제적 보안이 필수적”이라며 “‘스패로우 MCP’는 AI 개발 워크플로우에 보안을 내재화함으로써 기업들이 개발 생산성을 극대화하는 동시에 코드 안전성도 확보하도록 지원한다”고 말했다.

[조재호 기자(zephyr@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>