대구대, 오픈소스 보안 분석에서 ‘가짜 안전 판정’ 잡는 AI 에이전트 연구로 수상

• 대구대 SW중심대학사업단이 ‘오픈소스SW 업사이클링’을 실제 AI 에이전트 연구 성과로 연결했다는 소식임

  • 단순히 학생들이 OSS를 써보는 교육이 아니라, 학생 프로젝트 결과물을 재사용 가능한 오픈소스 자산으로 계속 고도화하는 체계를 만들고 있음
  • AI, 보안, 클라우드 같은 최신 SW 분야와 연결해 공개SW 시스템 구축과 AI 에이전트 개발까지 확장하는 흐름임

• 사업단의 핵심 프로그램은 OOPS, 즉 ‘Open Source Project per Student’임

  • 학생들이 졸업 전 최소 1개 이상의 오픈소스 프로젝트를 직접 수행하도록 하는 구조
  • 결과물이 한 번 쓰고 끝나는 과제가 아니라, 이후 프로젝트에서 재사용·개선·확장되는 자산으로 남는다는 점이 포인트임

• 이번에 주목받은 건 ODOC AI Agent를 활용한 오픈소스 보안 분석 아키텍처 연구임

  • 논문 제목은 ‘부분 스캔 환경에서 False-Clean 방지를 위한 ODOC AI Agent의 투명성 기반 보안 분석 아키텍처 제안’
  • 신혜리, 정윤환, 진다빈, 이미란 교수 연구가 2026 한국산업정보학회 춘계학술대회에서 우수논문상을 받음

• 연구가 겨냥한 문제는 False-Clean임. 일부만 검사했는데 전체 저장소가 안전한 것처럼 보이는 상황임

  • 공개SW 저장소는 구조가 복잡하고, 분석 도구가 모든 파일·의존성·버전을 완벽히 확인하지 못할 수 있음
  • 그런데 결과 화면이 그냥 ‘문제 없음’처럼 보이면 사용자는 전체가 검증됐다고 착각하기 쉬움
  • 공급망 보안에서는 이 착각이 꽤 치명적임. 안 본 곳에 취약점이나 라이선스 문제가 숨어 있을 수 있으니까

• 연구팀은 이 문제를 줄이기 위해 분석 결과의 한계와 불확실성을 드러내는 쪽으로 설계함

  • 저장소 구조 분석으로 어떤 부분을 봤는지 먼저 파악함
  • exact-version 기반 canonicalization으로 버전 정보를 더 정확히 맞추려 함
  • score masking으로 신뢰하기 어려운 점수가 과도하게 해석되지 않도록 막음
  • transparency state로 분석 상태를 사용자에게 명확히 보여주는 구조를 넣음

• 개발자 입장에서 이 연구가 흥미로운 이유는 보안 도구 UX의 방향을 건드리기 때문임

  • 많은 도구가 ‘취약점 몇 개’, ‘위험도 몇 점’처럼 결과만 보여주는데, 실제로는 분석 범위와 신뢰도가 더 중요할 때가 많음
  • 특히 AI 에이전트가 분석을 대신하는 흐름에서는 “어디까지 봤고, 어디부터 모르는지”를 표시하는 게 신뢰의 핵심이 됨

---

기술 맥락

• False-Clean은 보안 분석에서 꽤 현실적인 문제예요. 도구가 저장소 전체를 못 봤는데 결과가 깨끗하게 나오면, 사용자는 안전하다고 받아들이기 쉽거든요.

• 이 연구의 선택은 결과 점수만 개선하는 게 아니라, 분석의 한계를 드러내는 쪽이에요. partial scan 환경에서는 “취약점 없음”보다 “어디까지 확인했는지”가 더 중요한 정보가 될 수 있기 때문이에요.

• exact-version 기반 canonicalization은 오픈소스 식별 정확도를 높이기 위한 장치로 볼 수 있어요. 버전이 애매하게 매칭되면 취약점 데이터베이스와 대조할 때 잘못된 결론이 나올 수 있어서, 비교 가능한 형태로 맞추는 과정이 필요해요.

• score masking과 transparency state는 사용자 오해를 줄이는 장치예요. AI 에이전트가 분석을 수행하더라도 결과의 신뢰도와 미분석 영역을 같이 보여줘야 실제 보안 의사결정에 쓸 수 있거든요.