본문으로 건너뛰기
J
피드

IBM의 AI 개발 파트너 ‘밥’, 생산성 45% 올리고 보안까지 끼워 넣겠다는 얘기

security 약 6분
tags
#supply-chain#ai-coding#sdlc#snyk#ibm
vote
0
댓글
북마크

IBM이 소프트웨어 배포 라이프사이클 파트너 ‘Bob’을 소개하면서 개발 생산성 45% 향상, 앱 현대화 최대 93% 개선을 내세웠어. 기사 전반은 AI 코딩 도구가 생산성을 올리는 동시에 공급망 공격과 보안 검증 부담을 키우는 현실을 짚고, Bob이 사람 승인과 시프트 레프트 보안으로 이 문제를 풀겠다는 내용이야.

  • 1

    Red Hat 직원 GitHub 계정 해킹 사례에서 악성 npm 패키지 32개가 배포됐고 유효한 SLSA 증명까지 붙어 검증을 통과할 수 있었음

  • 2

    IBM Bob은 내부 개발조직에서 쓰이는 AI 기반 개발 파트너이며 평균 개발 생산성 45%, 앱 현대화 속도 최대 93%, 문서화 10배 이상 개선을 주장함

  • 3

    Bob은 AI가 작성한 코드를 사람이 승인해야 다음 단계로 넘기고, 정적 분석, 취약점 스캔, 오픈소스 의존성 검사, 시프트 레프트 보안을 워크플로우에 내장함

AI 코딩 도구가 편해질수록 공급망 공격도 같이 세짐

  • 기사 첫머리는 IBM Bob 얘기보다 공급망 공격 사례가 더 세게 들어옴

    • Snyk가 공개한 사례에 따르면 Red Hat 직원의 GitHub 계정이 해킹됐고, 공격자는 Red Hat Insights 리포지토리에 고아 커밋을 푸시했음
    • 무단 삽입한 GitHub Actions 워크플로우로 OIDC 토큰을 발급받아 악성 npm 패키지 32개를 배포함

  • 더 꺼림칙한 건 이 패키지들이 정상 리포지토리 컨텍스트에서 빌드됐다는 점임

    • 그래서 유효한 SLSA 프로버넌스 증명이 붙었고, 검증을 통과할 수 있었음
    • 설치 시 npm 토큰, SSH 키, GitHub 토큰뿐 아니라 GCP, AWS, Azure 클라우드 아이덴티티까지 탈취하는 스크립트가 실행됨

⚠️주의

> 이 공격은 “수상한 패키지를 조심하자” 수준이 아님. 정상처럼 보이는 빌드 증명까지 통과하는 공급망 공격이라, CI/CD 신뢰 모델 자체를 다시 봐야 하는 케이스임.

  • 악성 패키지는 웜 방식으로 자가 전파함
    • 탈취한 자격증명으로 피해자가 권한을 가진 다른 패키지에도 같은 페이로드를 심어 재배포함
    • AI 코딩 도구가 이런 패키지를 추천하거나 참조하면 확산 속도는 더 빨라질 수 있음

IBM이 내놓은 답은 ‘AI 개발 파트너’ Bob

  • IBM은 소프트웨어 배포 라이프사이클 파트너 Bob을 소개함

    • 단순 코드 자동완성 도구가 아니라, 개발 조직의 여러 워크플로우를 조율하는 AI 기반 개발 파트너라는 포지션임
    • IBM 내부 개발조직에서 직접 사용 중이라고 밝힘

  • IBM이 제시한 수치는 꽤 공격적임

    • 개발 생산성은 평균 45% 향상
    • 애플리케이션 현대화 속도는 최대 93% 빨라짐
    • 문서화 작업은 기존 대비 10배 이상 빨라짐
    • 현재 50개 이상 고객이 테스트 중임

중요

> IBM의 핵심 주장은 “AI를 쓰느냐 마느냐”가 아니라 “AI를 개발 프로세스 안에 안전하게 넣을 수 있느냐”임. 기업 도입에서는 이 차이가 진짜 큼.

사람 승인과 보안 내재화가 핵심 설계

  • Bob은 여러 에이전트가 협업하면서 개발, 보안, 비용 최적화를 지원하도록 설계됐음

    • 대규모 애플리케이션 구조와 시스템 맥락을 이해하고 여러 단계 작업을 자동 수행하는 쪽임
    • 개발자는 단순 구현보다 전체 결과를 설계하고 조율하는 역할로 옮겨간다는 설명임

  • 보안은 개발 초반부터 들어감

    • 정적 분석, 취약점 스캔, 오픈소스 의존성 검사 같은 검증 절차와 통합됨
    • 개발 완료 뒤에 따로 점검하는 방식이 아니라, 개발 전 과정에 정책과 보안을 내장하는 구조임

  • AI가 만든 코드는 사람이 반드시 검토하고 승인해야 다음 단계로 넘어감

    • 환각, 편향, 잘못된 코드 생성을 막기 위한 인간 검토 흐름임
    • 노출된 비밀번호, 오픈소스 라이선스 위반, 보안 취약점도 개발 단계에서 먼저 걸러내는 시프트 레프트 보안을 지원함

한국 개발팀에도 바로 와닿는 포인트

  • AI 코딩 도구를 도입해도 개발자가 검토, 검증, 보정에 시간을 다 쓰면 생산성 효과가 사라짐

    • IBM도 현재 AI 코딩 도구의 한계로 이 부분을 직접 지적함
    • 특히 기업 표준, 보안 정책, 컴플라이언스가 있는 조직에서는 “그럴듯한 코드”만으로는 배포까지 못 감

  • 비용 최적화까지 언급한 것도 현실적임

    • AI 활용이 늘수록 모델 호출, 빌드, 테스트, 인프라 비용이 같이 커짐
    • Bob은 개발 과정에서 발생하는 자원 사용과 비용을 실시간 분석하고 최적화하는 기능도 제공한다고 함

기술 맥락

  • IBM이 Bob을 SDLC 파트너라고 부르는 이유는 코드 생성만으로는 기업 개발의 병목을 못 풀기 때문이에요. 실제 조직에서는 요구사항, 보안 정책, 테스트, 배포 승인, 감사 기록까지 이어져야 코드가 서비스에 들어가거든요.

  • 공급망 공격 사례가 같이 나온 것도 우연이 아니에요. AI 코딩 도구가 외부 패키지를 더 자주 추천하고 가져오게 되면, 악성 패키지나 오염된 저장소를 사람이 놓칠 확률도 커져요. 그래서 Bob은 정적 분석, 취약점 스캔, 의존성 검사를 개발 흐름 안에 넣는 쪽을 택한 거예요.

  • 사람 승인 단계를 유지하는 것도 중요한 선택이에요. 완전 자동화가 멋져 보이지만, 기업 환경에서는 환각 코드나 라이선스 위반이 바로 장애와 법적 리스크로 이어질 수 있어요. AI는 속도를 올리고, 최종 책임과 승인 지점은 사람이 잡는 구조가 더 현실적인 셈이에요.

  • 생산성 45%, 앱 현대화 93%, 문서화 10배 같은 수치는 매력적이지만, 그 수치가 나오려면 기존 개발 표준과 보안 도구에 얼마나 잘 통합되는지가 관건이에요. 도구 하나 더 붙이는 게 아니라 개발 워크플로우 자체를 다시 짜는 문제에 가까워요.

AI 코딩 도구 논의가 이제 “코드 잘 짜냐”에서 “기업 개발 프로세스 안에서 안전하게 굴러가냐”로 넘어가고 있어. 특히 공급망 공격까지 겹치면, 개발 생산성 도구는 보안 도구와 분리해서 보기 어려워짐.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

한국형 AI 취약점 대응 허브 ‘K-글래스윙’ 추진

한국정보보호산업협회가 AI 기반 취약점 대응 체계인 K-글래스윙 출범을 추진한다. 해외 보안 특화 AI 프로젝트에만 기대기 어렵기 때문에, 국내 보안기업·AI 기업·공공기관이 함께 취약점 진단과 한국형 보안 AI 모델 개발을 맡는 구조다.

security

샘 올트먼·다리오 아모데이까지, ‘AI 생물학무기’ 막자고 미국 의회에 규제 촉구

오픈AI, 앤트로픽, 구글 딥마인드 등 주요 AI 기업 리더들이 미국 의회에 합성 핵산 판매 규제를 요구했다. AI가 바이러스학 같은 전문 영역의 지식 장벽을 낮추면서, 악의적 세력이 생물학무기 개발에 활용할 수 있다는 우려가 핵심임.

security

환자 의료기록 133GB가 공개 서버에 노출됐고, 병원은 답이 없었다

캘리포니아 백 앤 페인 스페셜리스트의 서버에서 환자 의료기록 133GB가 공개된 정황이 보고됐다. 제보자는 2026년 3월 31일 병원 측에 알렸지만 응답을 받지 못했고, 5월 20일 AWS에 신고한 뒤 6일 만에 서버가 조치됐다고 밝혔다. 이후 환자와 규제기관에 통지할 계획이 있는지 물었지만 답변은 없었다.

security

레드햇 관련 npm 패키지 감염, 미아즈마 웜이 개발자 환경과 클라우드 계정까지 노렸다

레드햇 관련 npm 패키지가 악성코드에 감염돼 개발자 PC, 깃허브 토큰, 클라우드 자격증명, 쿠버네티스 설정, CI/CD 비밀정보까지 노린 사건이 드러났어. 이번 미아즈마 변종은 패키지 설치만으로 실행되고, VS 코드와 클로드 코드 설정까지 건드려 지속성을 확보하려 했다는 점이 특히 위험해.

security

치폴레 상담봇을 코딩 에이전트로 훔쳐 쓴 밈 프로젝트, 치포틀라이 맥스

치포틀라이 맥스는 치폴레의 고객지원 챗봇 페퍼를 오픈코드의 기본 모델처럼 붙인 밈성 프로젝트다. 핵심은 누군가 페퍼의 웹소켓 기반 백엔드를 역공학해 오픈에이아이 호환 프록시를 만들었고, 이를 코딩 에이전트에 연결해 무료 추론처럼 쓰게 했다는 점이다.