[NSIS 2024] 시높시스, "엄격하고 효율적인 AI 앱 보안 솔루션 필요"
[디지털데일리 백지영기자] 최근 인공지능(AI)이 소프트웨어(애플리케이션) 개발 전반에서 다양하게 활성화되고 있는 가운데, 사이버 보안 우려는 더욱 커지고 있다. 이같은 우려를 잠재우기 위해선 다각적이고 엄격하면서도 효율적인 애플리케이션 보안 도구(솔루션)을 적극적으로 도입해야 한다는 의견이 제기됐다.
제병주 시높시스코리아 부장은 28일 소공동 롯데호텔 서울에서 <디지털데일리>가 개최한 제1회 ‘차세대 보안혁신 서밋(NSIS·Next Security Innovation Summit) 2024’에서 'AI 시대의 애플리케이션 보안' 주제 발표를 통해 "애플리케이션(이하 앱) 보안 분야에서 AI를 가장 많이 활용하는 쪽이 해커일 것"이라며 "앞으로도 해커들은 더 적극적으로 AI를 활용할 것이고, 결국 이를 방지하기 위해선 보안 측면에서도 AI가 적극 활용돼야 한다"고 강조했다.
최근 AI를 통한 개발 생산성이 급격하고 늘고 있다. 예컨대 깃허브와 오픈AI가 개발한 클라우드 기반 AI 도구인 '깃허브 코파일럿'은 지난 2021년 출시된 이후 이후 커밋되는 횟수는 급속히 증가했다.
제 부장은 "깃허브 조사결과에 따르면 코파일럿을 활용했을 경우 전체 생산성은 50%, 디플로이 시간은 25%, 커밋은 45% 증가했다는 조사가 있다"며 "또, 개발자의 88%는 코파일럿을 이용했을때 생산성 증가를 체감하고, 남는 시간에 중요한 업무에 집중할 수있다고 답했다"고 설명했다.
이는 프로젝트 완수율과 시간에도 영향을 미쳤다. 95명의 개발자를 두 그룹으로 나눠, 45명에겐 코파일럿을 통해 특정 프로젝트를 완수해 달라고 요청했고, 나머지는 50명은 이를 이용하지 않았다. 그 결과 완수율은 각각 78%, 70%로 큰 차이가 없었지만, 완수시간은 1시간, 2시간45분으로 코파일럿을 사용한 그룹이 소스코드 생산에 많은 도움을 받은 것으로 분석됐다.
하지만 보안 및 오픈소스 라이선스 준수 차원에서 여전히 안심하긴 어렵다. 실제 AI가 작성한 코드는 사이버 보안 측면에서 여전히 안전하지 않은 것으로 나타났다. 제 부장은 "AI는 접근 가능한 코드를 기반으로 학습해 코드를 생성하기 때문에, 현 시점에선 AI가 작성한 코드도 사람이 작성한 코드처럼 대해야 한다"며 "즉, 사람이 작성한 코드와 마찬가지로 앱 보안을 위한 활동이 필요하다"고 강조했다.
오픈소스 라이선스 위반은 더 중요한 문제다. 그는 "AI는 오픈소스 라이선스를 신경쓰지 않고, 적합한 펑션을 만들기 위해 동작하는 경향이 있다"며 "AI에 오픈소스 라이선스가 없는 코드를 만들어 달라고 해도 100% 신뢰할 수 있는가는 또 다른 문제"라고 지적했다.
이어 "AI를 통해 오픈소스 라이선스를 준수한다고 해도, 아직 신뢰할 수 있는 수준이 아니며 결국 이에 상응하는 앱 시큐리티 활동이 필요하다"고 강조했다.
이를 위해 현재 시높시스는 블랙덕의 '스니펫 스캔'을 통해 오픈소스 라이선스 위반 확인 작업을 제언하고 있다. 이는 AI가 생성한 코드에서 오픈소스 라이선스를 식별해주는 솔루션이다.
이와 함께 정적, 동적 애플리케이션 보안테스트(SAST/DAST) 및 소프트웨어 구성 분석(SCA)을 제공하는 SaaS(서비스형 소프트웨어) 기반 통합 솔루션 '폴라리스'를 통해 오픈소스 소프트웨어의 보안과 품질, 취약점 식별을 제공한다.
제 부장은 "이는 '폴라리스 어시스트'라는 이름으로 AI를 활용한 가이드를 제시하는데, 특정 이슈에 대해 궁금할 경우, 이를 클릭하면 코드 분석 설명이나 문제될 수 있는 코드 수정 등을 제안한다"고 설명했다.
이밖에도 시높시는 소프트웨어 리스크 매니저(SRM)를 통해 여러 종류의 앱 보안 도구 결과를 통합해 보여주고, 오탐 확률을 퍼센트로 제시하고 있다고 전했다.
MBK, '국가핵심기술 기업' 해외매각 우려 여전히 쟁점… 고려아연 M&A, 정부 역할 필요↑
2024-12-22 19:52:35스트레스 완충자본 규제 유예… 한시름 놓은 은행권, 기업금융 고삐죌까
2024-12-22 14:06:20심각한 노인빈곤율…"면세자에 대한 환급형 세액공제 도입해야"
2024-12-22 12:38:24올해 정보보호 투자액 2조원 돌파…공시 의무화 효과 '톡톡'
2024-12-22 12:00:00