--- title: "스패로우, AI가 만든 코드 취약점 잡는 ‘Sparrow MCP’ 출시" published: 2026-06-24T09:05:03.657Z canonical: https://jeff.news/article/4337 --- # 스패로우, AI가 만든 코드 취약점 잡는 ‘Sparrow MCP’ 출시 스패로우가 AI 코딩 에이전트가 생성한 코드의 보안 취약점과 사용된 오픈소스를 실시간으로 검사하는 보안 어시스턴트 ‘Sparrow MCP’를 출시했다. 핵심 기능은 취약점 분석과 소프트웨어 자재명세서(SBOM) 생성이며, 앤트로픽의 모델 컨텍스트 프로토콜(MCP)을 지원하는 AI와 연결할 수 있다는 점이다. AI 코딩이 빨라질수록 보안 검증과 오픈소스 추적이 개발 파이프라인 안으로 더 깊게 들어오는 흐름이다. - 스패로우가 AI 생성 코드 보안을 겨냥한 ‘Sparrow MCP’를 출시함 - AI 모델이 만든 코드의 안전성을 자동 검증하는 보안 어시스턴트로 소개됨 - 생성형 AI와 AI 코딩 에이전트 사용이 늘면서, 코드가 빨리 나오는 만큼 취약점도 빨리 들어올 수 있다는 문제를 겨냥함 - 핵심은 “AI가 만든 코드도 검사 없이 믿지 말자”임 - 개발 현장에서 AI 코딩 에이전트로 생산성을 높이는 사례가 많아지고 있음 - 반대로 위험한 오픈소스가 그대로 입력되고, 그 결과물이 실제 코드에 들어가는 사고도 늘고 있다고 설명함 - Sparrow MCP는 생성된 코드의 문제점과 사용된 오픈소스를 자동으로 검사하는 쪽에 초점이 있음 - SBOM 생성 기능이 꽤 중요한 포인트임 - SBOM은 소프트웨어 자재명세서(Software Bill of Materials)로, 코드에 어떤 오픈소스가 들어갔는지 목록화하는 방식임 - 일반 제품에 원재료와 성분이 적혀 있는 것처럼, 소프트웨어 구성요소를 추적할 수 있게 해줌 - 당장 문제가 없어도 나중에 특정 오픈소스에서 취약점이 발견되면, 우리 제품에 해당 코드가 들어갔는지 빠르게 확인할 수 있음 > [!TIP] > AI 코딩 도구를 쓰는 팀일수록 SBOM을 “나중에 보안팀이 만드는 문서”로 두면 늦음. 생성·리뷰·배포 흐름 안에서 자동으로 남겨야 의미가 있음. - MCP 지원도 제품 포지션을 보여주는 부분임 - Sparrow MCP는 앤트로픽(Anthropic)이 발표한 모델 컨텍스트 프로토콜(MCP)을 지원하는 AI 대부분과 연결 가능하다고 함 - MCP가 AI와 외부 도구를 잇는 표준 접점으로 퍼지면, 보안 검사도 그 접점에 붙는 형태가 자연스러워짐 - 개발팀 입장에서 체감 포인트는 명확함 - AI가 만들어준 코드가 돌아간다고 끝이 아니라, 어떤 오픈소스를 썼고 어떤 취약점 가능성이 있는지 함께 봐야 함 - 특히 보안 이슈가 나중에 터졌을 때 “우리 서비스 영향 있음?”을 빨리 답하려면 SBOM 같은 추적 정보가 필요함 - 결국 AI 코딩 시대의 보안은 코드 리뷰 뒤쪽이 아니라, 코드가 생성되는 순간 근처로 이동하는 중임 --- ## 기술 맥락 - Sparrow MCP가 MCP를 지원하는 이유는 AI 코딩 흐름 안에 보안 검사를 끼워 넣기 위해서예요. 개발자가 코드를 다 만든 뒤 별도 스캐너를 돌리는 방식보다, AI가 도구를 호출하는 접점에서 검사하는 편이 더 자연스럽거든요. - SBOM 생성이 같이 붙은 것도 중요해요. 취약점은 코드 작성 당일에만 문제가 되는 게 아니라, 몇 달 뒤 특정 오픈소스에서 새 결함이 발견됐을 때 다시 문제가 되거든요. - 그래서 이 제품의 가치는 취약점 탐지 하나로 끝나지 않아요. AI가 만든 코드, 포함된 오픈소스, 나중에 발생할 보안 공지를 연결해서 추적할 수 있게 만드는 데 의미가 있어요. - 개발팀이 AI 코딩 에이전트를 쓰기 시작했다면, 생산성 지표만 볼 게 아니라 생성 코드의 출처와 구성요소를 기록하는 체계도 같이 봐야 해요. ## 핵심 포인트 - 스패로우가 AI 생성 코드의 보안 취약점을 자동 검증하는 Sparrow MCP를 출시함 - AI 코딩 에이전트가 위험한 오픈소스를 그대로 끌어오는 문제를 검사 대상으로 삼음 - SBOM을 생성해 향후 특정 오픈소스 취약점이 발견됐을 때 영향 범위를 빠르게 확인할 수 있게 함 - MCP를 지원하는 AI 대부분과 연결 가능하다고 소개됨 ## 인사이트 AI 코딩 도구가 코드를 빨리 뽑아주는 만큼, 이제 보안 검사는 리뷰 마지막 단계가 아니라 생성 시점 근처로 올라와야 한다. 특히 SBOM은 대기업만 챙기는 문서가 아니라, 작은 팀도 장애·취약점 대응 시간을 줄이는 운영 도구가 되는 중임.