--- title: "스패로우, AI가 짠 코드 바로 검사하는 MCP 보안 도구 출시" published: 2026-06-23T03:05:02.798Z canonical: https://jeff.news/article/4256 --- # 스패로우, AI가 짠 코드 바로 검사하는 MCP 보안 도구 출시 스패로우가 AI 코딩 에이전트가 만든 코드를 개발 단계에서 바로 점검하는 ‘스패로우 MCP’를 출시했다. 클로드 코드, 커서 같은 도구와 연동해 소스코드 취약점, 오픈소스 라이선스, 공급망 리스크, SBOM 생성을 IDE 안에서 처리하는 방향이다. AI 코딩이 빨라질수록 보안 검사를 뒤로 미루기 어렵다는 흐름을 보여준다. - 스패로우가 AI 생성 코드를 바로 검사하는 보안 어시스턴트 ‘스패로우 MCP’를 출시함 - 클로드 코드, 커서 같은 AI 코딩 에이전트가 만든 코드를 개발 단계에서 바로 점검하는 제품임 - 소스코드 취약점뿐 아니라 오픈소스 라이선스와 공급망 리스크까지 같이 본다는 점이 핵심임 - 기반 기술은 앤트로픽이 발표한 모델 컨텍스트 프로토콜(MCP)임 - MCP는 AI 모델이 외부 데이터나 도구와 표준화된 방식으로 통신하게 해주는 프로토콜임 - 여기서는 AI 코딩 에이전트와 스패로우 보안 솔루션을 연결하는 접착제 역할을 함 - 문제의식은 단순함: AI가 코드를 빨리 짜도, 그 코드가 안전하다는 보장은 없음 - 대규모 언어 모델(LLM)은 학습 데이터에 있던 취약한 코드 패턴을 그대로 재현할 수 있음 - 오래되거나 취약한 오픈소스 라이브러리 사용 방식이 결과물에 섞일 수도 있음 - 개발자가 “돌아가네?” 하고 바로 반영하면, 나중에 공격 경로가 될 수 있음 > [!WARNING] > AI 코딩 에이전트가 만든 코드는 생산성의 산물이면서 동시에 공급망 리스크의 새 유입 경로가 될 수 있음. 검토 없이 머지하는 습관이 제일 위험함. - 스패로우 MCP는 코드가 생성되거나 수정되는 순간 분석을 붙이는 방식임 - 개발자는 자연어 요청으로 AI가 만든 코드를 점검할 수 있음 - 통합개발환경(IDE) 안에서 취약점을 바로 확인할 수 있어, 별도 보안 도구로 이동하는 부담을 줄이는 구조임 - 오픈소스 컴포넌트 관리도 같이 들어감 - 코드에 사용된 오픈소스 소프트웨어 컴포넌트를 식별함 - 라이선스와 취약점 정보를 제공하고, 소프트웨어 자재명세서(SBOM)도 생성함 - 기업 입장에서는 라이선스 정책 준수와 공급망 리스크 예방을 개발 흐름 안에 넣을 수 있음 - 스패로우가 노리는 지점은 ‘AI 개발 워크플로우 안에 보안을 내장하는 것’임 - 기존처럼 개발이 끝난 뒤 보안 점검을 붙이면, AI가 만든 코드의 속도를 따라가기 어려움 - 코드가 작성되는 즉시 검사해야 생산성과 안전성을 동시에 챙길 수 있다는 메시지임 --- ## 기술 맥락 - 여기서 중요한 선택은 보안 검사를 별도 단계로 빼지 않고 AI 코딩 흐름 안에 넣었다는 점이에요. AI 에이전트가 코드를 계속 생성하고 수정하는 환경에서는, 나중에 한 번에 검사하는 방식이 병목이 되기 쉽거든요. - MCP를 쓰는 이유도 연결 지점 때문이에요. AI 모델과 외부 보안 도구가 제각각 붙으면 통합 비용이 커지는데, MCP는 도구 호출 방식을 표준화해서 IDE 안에서 자연어 요청과 분석 결과를 이어줄 수 있어요. - SBOM까지 포함한 건 단순 코드 취약점만으로는 공급망 리스크를 다 못 보기 때문이에요. AI가 추천한 라이브러리가 어떤 버전인지, 라이선스가 사내 정책과 맞는지, 알려진 취약점이 있는지까지 봐야 실제 운영 리스크를 줄일 수 있어요. - 개발팀 입장에서는 보안팀의 사후 검문이 아니라, 코드를 쓰는 순간 피드백을 받는 형태에 가까워요. 그래서 생산성을 유지하면서도 위험한 패턴을 초기에 잡는 쪽으로 워크플로우가 바뀌는 거예요. ## 핵심 포인트 - 스패로우 MCP는 AI 코딩 에이전트와 보안 솔루션을 MCP로 연결하는 보안 어시스턴트임 - 코드 생성·수정 즉시 소스코드 취약점과 오픈소스 컴포넌트를 분석함 - 오픈소스 라이선스, 취약점 정보, SBOM 생성을 함께 지원함 - 클로드 코드, 커서 같은 AI 개발 도구 확산에 맞춰 개발 워크플로우 안에 보안을 넣는 전략임 ## 인사이트 AI 코딩 도구가 생산성을 올려주는 건 맞지만, 취약한 패턴이나 오래된 라이브러리까지 같이 끌고 올 수 있음. 이제 보안 리뷰를 릴리스 직전에 몰아서 하는 방식보다, 코드가 생기는 순간 IDE 안에서 잡는 쪽으로 무게가 이동하는 중임.