스패로우, AI가 짠 코드 바로 검사하는 MCP 보안 도구 출시

• 스패로우가 AI 생성 코드를 바로 검사하는 보안 어시스턴트 ‘스패로우 MCP’를 출시함

  • 클로드 코드, 커서 같은 AI 코딩 에이전트가 만든 코드를 개발 단계에서 바로 점검하는 제품임
  • 소스코드 취약점뿐 아니라 오픈소스 라이선스와 공급망 리스크까지 같이 본다는 점이 핵심임

• 기반 기술은 앤트로픽이 발표한 모델 컨텍스트 프로토콜(MCP)임

  • MCP는 AI 모델이 외부 데이터나 도구와 표준화된 방식으로 통신하게 해주는 프로토콜임
  • 여기서는 AI 코딩 에이전트와 스패로우 보안 솔루션을 연결하는 접착제 역할을 함

• 문제의식은 단순함: AI가 코드를 빨리 짜도, 그 코드가 안전하다는 보장은 없음

  • 대규모 언어 모델(LLM)은 학습 데이터에 있던 취약한 코드 패턴을 그대로 재현할 수 있음
  • 오래되거나 취약한 오픈소스 라이브러리 사용 방식이 결과물에 섞일 수도 있음
  • 개발자가 “돌아가네?” 하고 바로 반영하면, 나중에 공격 경로가 될 수 있음

• 스패로우 MCP는 코드가 생성되거나 수정되는 순간 분석을 붙이는 방식임

  • 개발자는 자연어 요청으로 AI가 만든 코드를 점검할 수 있음
  • 통합개발환경(IDE) 안에서 취약점을 바로 확인할 수 있어, 별도 보안 도구로 이동하는 부담을 줄이는 구조임

• 오픈소스 컴포넌트 관리도 같이 들어감

  • 코드에 사용된 오픈소스 소프트웨어 컴포넌트를 식별함
  • 라이선스와 취약점 정보를 제공하고, 소프트웨어 자재명세서(SBOM)도 생성함
  • 기업 입장에서는 라이선스 정책 준수와 공급망 리스크 예방을 개발 흐름 안에 넣을 수 있음

• 스패로우가 노리는 지점은 ‘AI 개발 워크플로우 안에 보안을 내장하는 것’임

  • 기존처럼 개발이 끝난 뒤 보안 점검을 붙이면, AI가 만든 코드의 속도를 따라가기 어려움
  • 코드가 작성되는 즉시 검사해야 생산성과 안전성을 동시에 챙길 수 있다는 메시지임

---

기술 맥락

• 여기서 중요한 선택은 보안 검사를 별도 단계로 빼지 않고 AI 코딩 흐름 안에 넣었다는 점이에요. AI 에이전트가 코드를 계속 생성하고 수정하는 환경에서는, 나중에 한 번에 검사하는 방식이 병목이 되기 쉽거든요.

• MCP를 쓰는 이유도 연결 지점 때문이에요. AI 모델과 외부 보안 도구가 제각각 붙으면 통합 비용이 커지는데, MCP는 도구 호출 방식을 표준화해서 IDE 안에서 자연어 요청과 분석 결과를 이어줄 수 있어요.

• SBOM까지 포함한 건 단순 코드 취약점만으로는 공급망 리스크를 다 못 보기 때문이에요. AI가 추천한 라이브러리가 어떤 버전인지, 라이선스가 사내 정책과 맞는지, 알려진 취약점이 있는지까지 봐야 실제 운영 리스크를 줄일 수 있어요.

• 개발팀 입장에서는 보안팀의 사후 검문이 아니라, 코드를 쓰는 순간 피드백을 받는 형태에 가까워요. 그래서 생산성을 유지하면서도 위험한 패턴을 초기에 잡는 쪽으로 워크플로우가 바뀌는 거예요.