--- title: "IBM의 AI 개발 파트너 ‘밥’, 생산성 45% 올리고 보안까지 끼워 넣겠다는 얘기" published: 2026-06-04T08:11:03.392Z canonical: https://jeff.news/article/3680 --- # IBM의 AI 개발 파트너 ‘밥’, 생산성 45% 올리고 보안까지 끼워 넣겠다는 얘기 IBM이 소프트웨어 배포 라이프사이클 파트너 ‘Bob’을 소개하면서 개발 생산성 45% 향상, 앱 현대화 최대 93% 개선을 내세웠어. 기사 전반은 AI 코딩 도구가 생산성을 올리는 동시에 공급망 공격과 보안 검증 부담을 키우는 현실을 짚고, Bob이 사람 승인과 시프트 레프트 보안으로 이 문제를 풀겠다는 내용이야. ## AI 코딩 도구가 편해질수록 공급망 공격도 같이 세짐 - 기사 첫머리는 IBM Bob 얘기보다 공급망 공격 사례가 더 세게 들어옴 - Snyk가 공개한 사례에 따르면 Red Hat 직원의 GitHub 계정이 해킹됐고, 공격자는 Red Hat Insights 리포지토리에 고아 커밋을 푸시했음 - 무단 삽입한 GitHub Actions 워크플로우로 OIDC 토큰을 발급받아 악성 npm 패키지 32개를 배포함 - 더 꺼림칙한 건 이 패키지들이 정상 리포지토리 컨텍스트에서 빌드됐다는 점임 - 그래서 유효한 SLSA 프로버넌스 증명이 붙었고, 검증을 통과할 수 있었음 - 설치 시 npm 토큰, SSH 키, GitHub 토큰뿐 아니라 GCP, AWS, Azure 클라우드 아이덴티티까지 탈취하는 스크립트가 실행됨 > [!WARNING] > 이 공격은 “수상한 패키지를 조심하자” 수준이 아님. 정상처럼 보이는 빌드 증명까지 통과하는 공급망 공격이라, CI/CD 신뢰 모델 자체를 다시 봐야 하는 케이스임. - 악성 패키지는 웜 방식으로 자가 전파함 - 탈취한 자격증명으로 피해자가 권한을 가진 다른 패키지에도 같은 페이로드를 심어 재배포함 - AI 코딩 도구가 이런 패키지를 추천하거나 참조하면 확산 속도는 더 빨라질 수 있음 ## IBM이 내놓은 답은 ‘AI 개발 파트너’ Bob - IBM은 소프트웨어 배포 라이프사이클 파트너 Bob을 소개함 - 단순 코드 자동완성 도구가 아니라, 개발 조직의 여러 워크플로우를 조율하는 AI 기반 개발 파트너라는 포지션임 - IBM 내부 개발조직에서 직접 사용 중이라고 밝힘 - IBM이 제시한 수치는 꽤 공격적임 - 개발 생산성은 평균 45% 향상 - 애플리케이션 현대화 속도는 최대 93% 빨라짐 - 문서화 작업은 기존 대비 10배 이상 빨라짐 - 현재 50개 이상 고객이 테스트 중임 > [!IMPORTANT] > IBM의 핵심 주장은 “AI를 쓰느냐 마느냐”가 아니라 “AI를 개발 프로세스 안에 안전하게 넣을 수 있느냐”임. 기업 도입에서는 이 차이가 진짜 큼. ## 사람 승인과 보안 내재화가 핵심 설계 - Bob은 여러 에이전트가 협업하면서 개발, 보안, 비용 최적화를 지원하도록 설계됐음 - 대규모 애플리케이션 구조와 시스템 맥락을 이해하고 여러 단계 작업을 자동 수행하는 쪽임 - 개발자는 단순 구현보다 전체 결과를 설계하고 조율하는 역할로 옮겨간다는 설명임 - 보안은 개발 초반부터 들어감 - 정적 분석, 취약점 스캔, 오픈소스 의존성 검사 같은 검증 절차와 통합됨 - 개발 완료 뒤에 따로 점검하는 방식이 아니라, 개발 전 과정에 정책과 보안을 내장하는 구조임 - AI가 만든 코드는 사람이 반드시 검토하고 승인해야 다음 단계로 넘어감 - 환각, 편향, 잘못된 코드 생성을 막기 위한 인간 검토 흐름임 - 노출된 비밀번호, 오픈소스 라이선스 위반, 보안 취약점도 개발 단계에서 먼저 걸러내는 시프트 레프트 보안을 지원함 ## 한국 개발팀에도 바로 와닿는 포인트 - AI 코딩 도구를 도입해도 개발자가 검토, 검증, 보정에 시간을 다 쓰면 생산성 효과가 사라짐 - IBM도 현재 AI 코딩 도구의 한계로 이 부분을 직접 지적함 - 특히 기업 표준, 보안 정책, 컴플라이언스가 있는 조직에서는 “그럴듯한 코드”만으로는 배포까지 못 감 - 비용 최적화까지 언급한 것도 현실적임 - AI 활용이 늘수록 모델 호출, 빌드, 테스트, 인프라 비용이 같이 커짐 - Bob은 개발 과정에서 발생하는 자원 사용과 비용을 실시간 분석하고 최적화하는 기능도 제공한다고 함 --- ## 기술 맥락 - IBM이 Bob을 SDLC 파트너라고 부르는 이유는 코드 생성만으로는 기업 개발의 병목을 못 풀기 때문이에요. 실제 조직에서는 요구사항, 보안 정책, 테스트, 배포 승인, 감사 기록까지 이어져야 코드가 서비스에 들어가거든요. - 공급망 공격 사례가 같이 나온 것도 우연이 아니에요. AI 코딩 도구가 외부 패키지를 더 자주 추천하고 가져오게 되면, 악성 패키지나 오염된 저장소를 사람이 놓칠 확률도 커져요. 그래서 Bob은 정적 분석, 취약점 스캔, 의존성 검사를 개발 흐름 안에 넣는 쪽을 택한 거예요. - 사람 승인 단계를 유지하는 것도 중요한 선택이에요. 완전 자동화가 멋져 보이지만, 기업 환경에서는 환각 코드나 라이선스 위반이 바로 장애와 법적 리스크로 이어질 수 있어요. AI는 속도를 올리고, 최종 책임과 승인 지점은 사람이 잡는 구조가 더 현실적인 셈이에요. - 생산성 45%, 앱 현대화 93%, 문서화 10배 같은 수치는 매력적이지만, 그 수치가 나오려면 기존 개발 표준과 보안 도구에 얼마나 잘 통합되는지가 관건이에요. 도구 하나 더 붙이는 게 아니라 개발 워크플로우 자체를 다시 짜는 문제에 가까워요. ## 핵심 포인트 - Red Hat 직원 GitHub 계정 해킹 사례에서 악성 npm 패키지 32개가 배포됐고 유효한 SLSA 증명까지 붙어 검증을 통과할 수 있었음 - IBM Bob은 내부 개발조직에서 쓰이는 AI 기반 개발 파트너이며 평균 개발 생산성 45%, 앱 현대화 속도 최대 93%, 문서화 10배 이상 개선을 주장함 - Bob은 AI가 작성한 코드를 사람이 승인해야 다음 단계로 넘기고, 정적 분석, 취약점 스캔, 오픈소스 의존성 검사, 시프트 레프트 보안을 워크플로우에 내장함 ## 인사이트 AI 코딩 도구 논의가 이제 “코드 잘 짜냐”에서 “기업 개발 프로세스 안에서 안전하게 굴러가냐”로 넘어가고 있어. 특히 공급망 공격까지 겹치면, 개발 생산성 도구는 보안 도구와 분리해서 보기 어려워짐.