스패로우, AI가 만든 코드까지 추적하는 공급망 보안 전략 공개

• 스패로우가 AI 코딩 시대의 공급망 보안 전략을 공개함

  • 지난 11일 서울 용산에서 연례 고객 행사 ‘SAI 2026’을 열고, ‘AI 혁신으로 완성하는 SW 공급망 보안’을 주제로 발표를 진행함
  • 국내 주요 기업과 기관의 IT·보안 리더, 실무자가 참석한 행사였고, 기존 연례 행사 ‘PUC’를 올해부터 SAI로 바꿨다고 함

• 핵심 메시지는 “AI가 만든 코드도 추적 대상”이라는 것임

  • 생성형 AI 기반 코드 작성과 오픈소스 패키지 활용이 늘면서 가시성 부족, 라이선스 리스크, 취약점 대응 지연 문제가 커지고 있음
  • 스패로우는 이를 해결하려면 SBOM 관리 범위를 AI 모델과 AI 생성 코드까지 넓혀야 한다고 강조함
  • SBOM은 소프트웨어 구성요소와 의존 관계를 확인하는 자재명세서라, 공급망 보안에서 기본 장부 같은 역할을 함

• SBOM을 그냥 목록으로만 두지 말고 신뢰 체계로 써야 한다는 주장도 나옴

  • 장일수 스패로우 대표는 생성된 SBOM에 디지털 서명을 추가해 무결성을 검증해야 한다고 설명함
  • SBOM을 주고받은 공급사와 수요사를 시각화해, 신뢰할 수 있는 공급망 보안 생태계를 만들어야 한다는 구상임
  • 단순히 “우리 제품에 이런 라이브러리가 들어감” 수준을 넘어, 누가 만들고 누가 받았는지까지 관리하자는 얘기임

• 행사에서는 글로벌 공급망 규제와 최신 공격 사례도 함께 다뤄짐

  • 공급망보안연구회 이만희 위원장은 AI 발전으로 취약점 발견 속도가 빨라지는 만큼 보안 가시성을 확보해야 한다고 설명함
  • 개발 전주기에 걸친 자동화 보안 테스트 체계도 필요하다고 짚음
  • 최신 AI 모델의 특징과 보안 시사점도 함께 공유됐다고 함

• 스패로우가 내놓은 대응 카드 중 하나는 ‘스패로우 MCP’임

  • 생성형 AI 코딩의 보안 위협 발표에서, 바이브 코딩 확산으로 개발 방식은 빨라졌지만 AI가 안전하지 않은 코드를 만들 수 있다는 점이 지적됨
  • 스패로우 MCP는 코드 생성 시점부터 보안 검증을 수행하는 방식으로 제안됨
  • 개발자가 기존 개발 흐름을 유지하면서도 코드 안전성을 검증할 수 있게 하겠다는 방향임

• 이 얘기가 국내 개발팀에 꽤 직접적인 이유가 있음

  • 국내 기업도 AI 코딩 도구와 오픈소스 패키지를 이미 적극적으로 쓰고 있음
  • 그런데 보안팀이 나중에 스캔해서 잡는 방식만으로는 AI가 빠르게 만든 코드와 의존성을 따라가기 어려움
  • 결국 개발 파이프라인 안에서 생성 시점, 커밋 시점, 빌드 시점에 검증을 붙이는 쪽으로 갈 가능성이 큼

---

기술 맥락

• 여기서 핵심 선택은 SBOM의 범위를 오픈소스 목록에서 AI 생성 코드와 AI 모델까지 넓히는 거예요. 예전엔 사람이 추가한 라이브러리를 추적하면 됐지만, 이제는 AI가 만든 코드와 추천한 패키지도 제품 안으로 들어오거든요.

• 디지털 서명을 붙이려는 이유는 SBOM 자체도 신뢰할 수 있어야 하기 때문이에요. 공급사와 수요사가 문서를 주고받아도, 그 목록이 중간에 바뀌었거나 출처가 불분명하면 보안 근거로 쓰기 어렵거든요.

• 코드 생성 시점에 검증을 붙이는 접근도 꽤 현실적이에요. 취약점이 배포 직전에 발견되면 고치는 비용이 커지니, AI가 코드를 만드는 순간부터 위험한 패턴을 잡겠다는 흐름이에요.

• 개발팀 입장에선 이게 귀찮은 보안 절차로만 보일 수 있지만, 실제로는 나중에 장애나 감사 대응을 줄이는 장치가 될 수 있어요. AI 코딩이 빨라질수록 추적과 검증도 같이 자동화돼야 균형이 맞아요.