두루이디에스, RAG 붙인 소스코드·오픈소스 취약점 진단 플랫폼 공개

• 두루이디에스가 2026 국제인공지능대전에서 엑스팩AI(XpecAI)를 공개함. 한 줄로 말하면, 소스코드 취약점 진단에 RAG와 프라이빗 LLM을 붙인 보안 플랫폼임

  • 타깃은 기존 SAST·SCA 도구를 쓰면서도 오탐(False Positive) 때문에 피곤했던 조직임
  • 단순히 “AI로 취약점 찾음”이 아니라, 코드와 사내 규정 문맥을 같이 읽어서 판단 정확도를 높이겠다는 접근임

• 핵심 구조는 AST 기반 정적 분석 + RAG 지식 베이스 + 프라이빗 LLM 교차 검증임

  • 먼저 소스코드뿐 아니라 사내 보안 가이드라인, 규정 문서, PDF, MD, DOCX 같은 자료를 플랫폼 안으로 모음
  • 이 비정형 문서를 의미론적 분할(Semantic Chunking)로 쪼갠 뒤 ChromaDB, Faiss 같은 벡터DB에 임베딩함
  • 이후 전통적인 AST 기반 정적 분석 결과를 프라이빗 LLM이 벡터DB 문맥과 대조하면서 더블체크함

• 컴플라이언스 대응도 꽤 전면에 내세움. 국내 SI·공공·금융 프로젝트 해본 사람은 이게 왜 중요한지 바로 감 올 듯

  • 공공·국가기관용으로 국정원 SW 공급망 가이드라인, 행안부 필수 진단 항목 47개, KISA 보안 약점 진단을 지원함
  • 금융권 기준으로는 전자금융감독규정 필수 보안 약점과 ISMS-P 인증 기준을 커버한다고 밝힘
  • 글로벌 기준도 OWASP Top 10, CVE/NVD, CERT Secure Coding, MISRA C:2012, NIPA 공개 SW 라이선스 가이드라인까지 포함됨

• 개발자 입장에서는 Ask AI가 눈에 띄는 부분임. 취약점이 떴을 때 “그래서 어디를 어떻게 고치라고?”를 바로 물어볼 수 있는 구조임

  • 플랫폼 안에 경량화 대형언어모델(sLLM) 기반 대화형 AI 에이전트가 들어감
  • 개발자가 취약점 해결책을 질문하면, 해당 프로젝트 코드베이스와 문맥을 바탕으로 맞춤형 디버깅 가이드를 프롬프트 형태로 제공함
  • 보안 리포트만 던져주고 개발팀이 알아서 해석하는 기존 흐름을 줄이려는 의도가 보임

• 보안 관리자용 대시보드도 같이 제공됨. 운영 관점에서는 “취약점 목록”보다 “뭐부터 막을지”가 더 중요하니까

  • 모든 진단 결과는 NVD 매핑과 CVSS V3 스코어 기준으로 분류됨
  • 심각도는 Critical, High, Medium, Safe 4단계로 보여줌
  • 우선순위 기반으로 리스크를 통제할 수 있게 실시간 시각화도 제공함

---

기술 맥락

• 이 제품의 기술적 선택은 RAG를 코드 보안 분석에 붙였다는 데 있어요. SAST는 빠르고 규칙 기반이라 실무에 강하지만, 회사별 보안 정책이나 예외 문맥을 잘 모르기 때문에 오탐이 쌓이기 쉽거든요.

• 그래서 문서와 규정을 벡터DB에 넣고, 정적 분석 결과를 프라이빗 LLM이 다시 확인하는 구조를 택한 거예요. “이 코드가 일반적으로 위험한가”뿐 아니라 “우리 조직 기준에서도 진짜 막아야 하는가”를 보려는 거죠.

• 프라이빗 LLM을 강조하는 이유도 명확해요. 보안 진단은 소스코드와 내부 규정이 들어가므로 외부 모델로 막 보내기 어렵거든요. 공공, 금융, 국방처럼 데이터 반출에 민감한 조직에서는 이게 도입 가능성을 가르는 지점이에요.

• Ask AI는 개발자 경험 쪽 선택이에요. 취약점 리포트가 아무리 정확해도 수정 가이드가 애매하면 티켓만 쌓이거든요. 프로젝트 코드 문맥을 보고 해결 프롬프트를 주겠다는 건 보안팀과 개발팀 사이의 번역 비용을 줄이려는 시도예요.