AI 개발 가속화의 그늘… ‘AIBOM’으로 SW 공급망 보안 완성해야

[산업일보]
생성형 AI의 확산으로 코드 작성이 자동화되면서 소프트웨어(SW) 개발 생산성도 획기적으로 향상됐다. 하지만 개발 속도가 빨라진 만큼 보안 검증 시간은 부족해졌으며, 검증되지 않은 코드 유입에 따른 위험도 커졌다.

윤종원 스패로우(SPARROW) CTO는 20일 일산 킨텍스(KINTEX)에서 열린 ‘전자정부 정보보호 콘퍼런스(eGISEC 2026)’에서 AI 확산과 SW 공급망 위협 시대의 안전한 SW 개발 보안 전략을 제시했다.

윤 CTO는 AI가 생성한 코드가 46% 급증했으며, 개발 속도는 이전보다 2배가량 빨라졌다는 통계를 제시하며 이에 동반되는 AI 생성 코드의 위험 요소를 꼽았다.

취약한 코드가 포함된 데이터로 학습할 경우 보안 결함 패턴이 그대로 재현될 수 있다는 점, 전체 시스템의 맥락을 충분히 이해하지 못해 핵심 보안 로직이 누락될 수 있다는 점, 그리고 최신 보안 표준이 반영되지 않을 수 있다는 점 등이다.

윤 CTO는 “오픈소스 의존성이 96%에 달하고 프로젝트당 수백 수천 개의 외부 라이브러리가 사용되는 현재 상황에서, 취약한 요소 하나가 전체 SW 보안에 치명적인 영향을 미칠 수 있다”고 경고했다.

특히 빠른 배포 사이클과 CI/CD(지속적 통합 및 지속적 제공/배포) 자동화가 보편화된 환경에서는 기존의 수동 보안 점검 방식으로는 대응이 불가능하다는 지적이다. 그러면서 이를 해소하기 위해서는 개발 생명 주기(SDLC) 전 과정에 걸쳐 보안 테스트를 자동화하고, AI 워크플로우 내에 보안 검증 단계를 통합해야 한다고 제언했다.

윤 CTO는 SW 공급망 보안을 위해 SW 구성 요소를 명시한 ‘SBOM(소프트웨어 자재명세서)’의 활용 범위를 AI 모델까지 확장한 ‘AIBOM’ 도입의 필요성을 제시했다.

SBOM이 SW에 포함된 라이브러리와 의존성 목록을 관리한다면, AIBOM은 여기에 AI 모델의 이름, 버전, 학습 데이터 정보 등을 추가로 포함하는 식이다. 이를 통해 AI 모델의 취약점을 관리하고 신속한 보안 사고 대응 및 규정 준수가 가능해진다.

윤 CTO는 “AI의 생산성 향상 효과를 극대화하면서도 안전한 SW를 개발하기 위해서는 생성형 AI 산출물에 대한 보안 테스팅 필요성을 인식하고, 자동화된 AI 워크플로우를 구축해야 한다”고 강조했다.