--- title: "스패로우, AI가 짠 코드 바로 취약점 검사하는 ‘스패로우 MCP’ 출시" published: 2026-06-23T07:05:02.798Z canonical: https://jeff.news/article/4253 --- # 스패로우, AI가 짠 코드 바로 취약점 검사하는 ‘스패로우 MCP’ 출시 스패로우가 AI 코딩 에이전트가 생성한 코드를 IDE 안에서 즉시 분석하는 보안 어시스턴트 ‘스패로우 MCP’를 출시했다. 모델 컨텍스트 프로토콜을 기반으로 취약점 검증, 오픈소스 컴포넌트 식별, 라이선스 확인, SBOM 자동 생성을 개발 흐름에 붙이는 제품이다. - 스패로우가 AI 생성 코드용 보안 어시스턴트 ‘스패로우 MCP’를 공식 출시함 - 핵심 타깃은 클로드 코드, 커서 같은 AI 코딩 에이전트를 쓰는 개발 환경 - AI가 코드를 만들어내는 속도는 빨라졌는데, 그만큼 보안 검증도 같이 빨라져야 한다는 문제의식에서 나온 제품 - 제품 이름에 들어간 MCP는 앤트로픽이 발표한 모델 컨텍스트 프로토콜을 뜻함 - AI 모델이 외부 도구나 데이터와 표준화된 방식으로 연결되게 하는 프로토콜 - 스패로우는 이 연결 방식을 이용해 개발자의 통합개발환경과 보안 분석 기능을 직접 붙임 - 스패로우 MCP가 하려는 일은 “AI가 코드 짜면 바로 검사”임 - 개발자가 자연어로 요청해 AI가 생성하거나 수정한 코드를 즉시 분석 - 코드가 작성되는 순간 취약점 유무를 검증 - 보안 검토를 배포 직전이나 별도 점검 단계로 밀지 않고, 작성 시점에 끼워 넣는 흐름 > [!WARNING] > AI 코딩 에이전트가 만든 코드는 생산성만 가져오는 게 아님. 학습 데이터에 있던 취약한 패턴이나 오래된 오픈소스 라이브러리가 그대로 기업 코드에 섞일 수 있음. - 오픈소스 공급망 관리 기능도 같이 들어감 - 코드에 포함된 오픈소스 소프트웨어 컴포넌트를 실시간으로 식별 - 라이선스 정보와 취약점 정보를 제공 - 소프트웨어 자재명세서인 SBOM을 자동 생성해 어떤 구성요소가 들어갔는지 가시화 - 기업 입장에서는 이게 단순 편의 기능이 아니라 거버넌스 문제임 - AI가 가져온 라이브러리가 어떤 라이선스인지 모르면 나중에 배포와 계약 단계에서 문제가 될 수 있음 - 취약한 컴포넌트가 개발 초기에 들어가면 이후 수정 비용이 커짐 - 스패로우는 이를 “보안 내재화” 관점에서 개발 초기부터 막겠다는 설명 - 스패로우 대표 발언도 방향은 명확함. 실시간 코드 생성 환경에서는 실시간 보안 검증이 필수라는 것 - AI 개발 워크플로우 안에 보안을 넣어 생산성과 코드 안전성을 같이 잡겠다는 메시지 - 국내 기업들이 AI 코딩 도구를 도입할 때 가장 먼저 부딪힐 질문이기도 함. “빨라진 코드를 누가, 언제, 어떻게 검증할 건데?” --- ## 기술 맥락 - 스패로우 MCP의 선택은 보안 검사를 개발 마지막 단계가 아니라 IDE 안으로 당기는 거예요. AI 코딩 에이전트는 코드 생성 속도가 빠르기 때문에, 사람이 나중에 몰아서 리뷰하는 방식만으로는 놓치는 게 생기기 쉽거든요. - MCP를 쓰는 이유는 AI 모델과 외부 보안 도구를 표준화된 방식으로 연결하기 위해서예요. 각 IDE나 에이전트마다 따로 붙이는 구조보다, 공통 프로토콜 위에서 분석 요청과 결과를 주고받는 편이 확장성이 좋아요. - SBOM 자동 생성이 같이 들어간 것도 중요해요. AI가 추천한 오픈소스 라이브러리가 코드에 들어갔을 때, 나중에 “이거 어디서 들어왔지”를 찾으면 이미 늦을 수 있거든요. - 이 제품이 겨냥하는 레이어는 배포 이후 모니터링이 아니라 코드 작성 시점이에요. 취약점, 라이선스, 공급망 리스크를 커밋 전에 보겠다는 접근이라 DevSecOps 도입을 고민하는 국내 조직에 특히 직접적인 의미가 있어요. ## 핵심 포인트 - 클로드 코드와 커서 같은 AI 코딩 에이전트 확산에 맞춘 보안 제품 - 코드 작성 즉시 취약점과 오픈소스 라이브러리 정보를 검증 - SBOM 자동 생성으로 공급망 리스크를 개발 초기부터 관리 ## 인사이트 AI 코딩 도구가 빨라질수록 보안 검토를 나중 단계로 미루는 방식은 점점 안 맞게 된다. 코드 생성 시점에 검사하는 흐름은 국내 기업 DevSecOps에서도 꽤 현실적인 방향이다.