--- title: "스패로우, AI가 만든 코드까지 추적하는 공급망 보안 전략 공개" published: 2026-06-12T08:05:03.216Z canonical: https://jeff.news/article/4093 --- # 스패로우, AI가 만든 코드까지 추적하는 공급망 보안 전략 공개 스패로우가 생성형 AI 코딩과 오픈소스 확산으로 커지는 소프트웨어 공급망 보안 위험에 대응하기 위해 SBOM 기반 전략을 제시했다. 특히 SBOM 관리 범위를 AI 모델과 AI 생성 코드까지 넓히고, 코드 생성 시점부터 보안 검증을 수행하는 ‘스패로우 MCP’를 예고했다. - 스패로우가 AI 코딩 시대의 공급망 보안 전략을 공개함 - 지난 11일 서울 용산에서 연례 고객 행사 ‘SAI 2026’을 열고, ‘AI 혁신으로 완성하는 SW 공급망 보안’을 주제로 발표를 진행함 - 국내 주요 기업과 기관의 IT·보안 리더, 실무자가 참석한 행사였고, 기존 연례 행사 ‘PUC’를 올해부터 SAI로 바꿨다고 함 - 핵심 메시지는 “AI가 만든 코드도 추적 대상”이라는 것임 - 생성형 AI 기반 코드 작성과 오픈소스 패키지 활용이 늘면서 가시성 부족, 라이선스 리스크, 취약점 대응 지연 문제가 커지고 있음 - 스패로우는 이를 해결하려면 SBOM 관리 범위를 AI 모델과 AI 생성 코드까지 넓혀야 한다고 강조함 - SBOM은 소프트웨어 구성요소와 의존 관계를 확인하는 자재명세서라, 공급망 보안에서 기본 장부 같은 역할을 함 > [!WARNING] > AI가 코드를 만들어도 책임은 조직에 남음. 어떤 모델이 어떤 코드를 만들었고, 어떤 오픈소스 의존성이 끼어들었는지 추적하지 못하면 취약점 대응도 라이선스 대응도 늦어질 수 있음. - SBOM을 그냥 목록으로만 두지 말고 신뢰 체계로 써야 한다는 주장도 나옴 - 장일수 스패로우 대표는 생성된 SBOM에 디지털 서명을 추가해 무결성을 검증해야 한다고 설명함 - SBOM을 주고받은 공급사와 수요사를 시각화해, 신뢰할 수 있는 공급망 보안 생태계를 만들어야 한다는 구상임 - 단순히 “우리 제품에 이런 라이브러리가 들어감” 수준을 넘어, 누가 만들고 누가 받았는지까지 관리하자는 얘기임 - 행사에서는 글로벌 공급망 규제와 최신 공격 사례도 함께 다뤄짐 - 공급망보안연구회 이만희 위원장은 AI 발전으로 취약점 발견 속도가 빨라지는 만큼 보안 가시성을 확보해야 한다고 설명함 - 개발 전주기에 걸친 자동화 보안 테스트 체계도 필요하다고 짚음 - 최신 AI 모델의 특징과 보안 시사점도 함께 공유됐다고 함 - 스패로우가 내놓은 대응 카드 중 하나는 ‘스패로우 MCP’임 - 생성형 AI 코딩의 보안 위협 발표에서, 바이브 코딩 확산으로 개발 방식은 빨라졌지만 AI가 안전하지 않은 코드를 만들 수 있다는 점이 지적됨 - 스패로우 MCP는 코드 생성 시점부터 보안 검증을 수행하는 방식으로 제안됨 - 개발자가 기존 개발 흐름을 유지하면서도 코드 안전성을 검증할 수 있게 하겠다는 방향임 - 이 얘기가 국내 개발팀에 꽤 직접적인 이유가 있음 - 국내 기업도 AI 코딩 도구와 오픈소스 패키지를 이미 적극적으로 쓰고 있음 - 그런데 보안팀이 나중에 스캔해서 잡는 방식만으로는 AI가 빠르게 만든 코드와 의존성을 따라가기 어려움 - 결국 개발 파이프라인 안에서 생성 시점, 커밋 시점, 빌드 시점에 검증을 붙이는 쪽으로 갈 가능성이 큼 --- ## 기술 맥락 - 여기서 핵심 선택은 SBOM의 범위를 오픈소스 목록에서 AI 생성 코드와 AI 모델까지 넓히는 거예요. 예전엔 사람이 추가한 라이브러리를 추적하면 됐지만, 이제는 AI가 만든 코드와 추천한 패키지도 제품 안으로 들어오거든요. - 디지털 서명을 붙이려는 이유는 SBOM 자체도 신뢰할 수 있어야 하기 때문이에요. 공급사와 수요사가 문서를 주고받아도, 그 목록이 중간에 바뀌었거나 출처가 불분명하면 보안 근거로 쓰기 어렵거든요. - 코드 생성 시점에 검증을 붙이는 접근도 꽤 현실적이에요. 취약점이 배포 직전에 발견되면 고치는 비용이 커지니, AI가 코드를 만드는 순간부터 위험한 패턴을 잡겠다는 흐름이에요. - 개발팀 입장에선 이게 귀찮은 보안 절차로만 보일 수 있지만, 실제로는 나중에 장애나 감사 대응을 줄이는 장치가 될 수 있어요. AI 코딩이 빨라질수록 추적과 검증도 같이 자동화돼야 균형이 맞아요. ## 핵심 포인트 - 스패로우가 SAI 2026에서 AI 개발 환경 중심의 공급망 보안 전략 공개 - SBOM 관리 범위를 오픈소스 구성요소뿐 아니라 AI 모델과 AI 생성 코드까지 확장해야 한다고 강조 - 생성된 SBOM에 디지털 서명을 추가해 무결성을 검증하는 방안 제시 - 코드 생성 시점부터 보안 검증을 수행하는 스패로우 MCP 출시 예정 ## 인사이트 AI 코딩 도구가 개발 속도를 올리는 만큼, 조직은 ‘누가 이 코드를 썼는가’뿐 아니라 ‘어떤 모델과 어떤 의존성이 이 코드를 만들었는가’까지 관리해야 하는 단계로 들어가고 있다. SBOM이 단순 컴플라이언스 문서에서 개발 파이프라인의 운영 데이터로 바뀌는 흐름이다.