--- title: "대구대, 오픈소스 보안 분석에서 ‘가짜 안전 판정’ 잡는 AI 에이전트 연구로 수상" published: 2026-06-11T02:05:04.528Z canonical: https://jeff.news/article/4006 --- # 대구대, 오픈소스 보안 분석에서 ‘가짜 안전 판정’ 잡는 AI 에이전트 연구로 수상 대구대 SW중심대학사업단이 학생 오픈소스 프로젝트를 재사용·고도화하는 OSS 업사이클링 체계를 운영하며 AI 에이전트 기반 보안 분석 연구 성과를 냈다. 특히 공개SW 저장소 일부만 분석하고도 전체가 안전한 것처럼 보이는 ‘False-Clean’ 문제를 줄이는 아키텍처가 우수논문상을 받았다. - 대구대 SW중심대학사업단이 ‘오픈소스SW 업사이클링’을 실제 AI 에이전트 연구 성과로 연결했다는 소식임 - 단순히 학생들이 OSS를 써보는 교육이 아니라, 학생 프로젝트 결과물을 재사용 가능한 오픈소스 자산으로 계속 고도화하는 체계를 만들고 있음 - AI, 보안, 클라우드 같은 최신 SW 분야와 연결해 공개SW 시스템 구축과 AI 에이전트 개발까지 확장하는 흐름임 - 사업단의 핵심 프로그램은 OOPS, 즉 ‘Open Source Project per Student’임 - 학생들이 졸업 전 최소 1개 이상의 오픈소스 프로젝트를 직접 수행하도록 하는 구조 - 결과물이 한 번 쓰고 끝나는 과제가 아니라, 이후 프로젝트에서 재사용·개선·확장되는 자산으로 남는다는 점이 포인트임 - 이번에 주목받은 건 ODOC AI Agent를 활용한 오픈소스 보안 분석 아키텍처 연구임 - 논문 제목은 ‘부분 스캔 환경에서 False-Clean 방지를 위한 ODOC AI Agent의 투명성 기반 보안 분석 아키텍처 제안’ - 신혜리, 정윤환, 진다빈, 이미란 교수 연구가 2026 한국산업정보학회 춘계학술대회에서 우수논문상을 받음 > [!IMPORTANT] > 여기서 중요한 건 “AI로 보안 분석했다”가 아니라, 분석하지 못한 영역을 안전한 것처럼 포장하지 않는 구조를 만들었다는 점임. - 연구가 겨냥한 문제는 False-Clean임. 일부만 검사했는데 전체 저장소가 안전한 것처럼 보이는 상황임 - 공개SW 저장소는 구조가 복잡하고, 분석 도구가 모든 파일·의존성·버전을 완벽히 확인하지 못할 수 있음 - 그런데 결과 화면이 그냥 ‘문제 없음’처럼 보이면 사용자는 전체가 검증됐다고 착각하기 쉬움 - 공급망 보안에서는 이 착각이 꽤 치명적임. 안 본 곳에 취약점이나 라이선스 문제가 숨어 있을 수 있으니까 - 연구팀은 이 문제를 줄이기 위해 분석 결과의 한계와 불확실성을 드러내는 쪽으로 설계함 - 저장소 구조 분석으로 어떤 부분을 봤는지 먼저 파악함 - exact-version 기반 canonicalization으로 버전 정보를 더 정확히 맞추려 함 - score masking으로 신뢰하기 어려운 점수가 과도하게 해석되지 않도록 막음 - transparency state로 분석 상태를 사용자에게 명확히 보여주는 구조를 넣음 - 개발자 입장에서 이 연구가 흥미로운 이유는 보안 도구 UX의 방향을 건드리기 때문임 - 많은 도구가 ‘취약점 몇 개’, ‘위험도 몇 점’처럼 결과만 보여주는데, 실제로는 분석 범위와 신뢰도가 더 중요할 때가 많음 - 특히 AI 에이전트가 분석을 대신하는 흐름에서는 “어디까지 봤고, 어디부터 모르는지”를 표시하는 게 신뢰의 핵심이 됨 --- ## 기술 맥락 - False-Clean은 보안 분석에서 꽤 현실적인 문제예요. 도구가 저장소 전체를 못 봤는데 결과가 깨끗하게 나오면, 사용자는 안전하다고 받아들이기 쉽거든요. - 이 연구의 선택은 결과 점수만 개선하는 게 아니라, 분석의 한계를 드러내는 쪽이에요. partial scan 환경에서는 “취약점 없음”보다 “어디까지 확인했는지”가 더 중요한 정보가 될 수 있기 때문이에요. - exact-version 기반 canonicalization은 오픈소스 식별 정확도를 높이기 위한 장치로 볼 수 있어요. 버전이 애매하게 매칭되면 취약점 데이터베이스와 대조할 때 잘못된 결론이 나올 수 있어서, 비교 가능한 형태로 맞추는 과정이 필요해요. - score masking과 transparency state는 사용자 오해를 줄이는 장치예요. AI 에이전트가 분석을 수행하더라도 결과의 신뢰도와 미분석 영역을 같이 보여줘야 실제 보안 의사결정에 쓸 수 있거든요. ## 핵심 포인트 - 대구대는 학생이 졸업 전 최소 1개 이상 오픈소스 프로젝트를 수행하는 OOPS 프로그램을 운영 중이다 - 수상 연구는 부분 스캔 환경에서 False-Clean을 방지하기 위한 ODOC AI Agent 보안 분석 구조를 제안했다 - 저장소 구조 분석, exact-version 기반 canonicalization, score masking, transparency state로 분석 한계를 사용자에게 드러내는 방식이다 ## 인사이트 로컬 대학 사업단 소식처럼 보이지만, 포인트는 꽤 실무적임. 보안 분석 도구가 ‘분석 못 한 영역’을 숨기지 않고 사용자에게 보여주는 설계는 실제 OSS 감사나 공급망 보안에서도 바로 중요한 문제임.