“AI가 만든 코드 전쟁, 진짜 위험만 잡는다”… 美 블랙덕 한국 상륙

[이데일리 김현아 기자] 생성형 인공지능(AI)이 소프트웨어 개발의 핵심 도구로 자리 잡으면서, 보안의 기준도 빠르게 바뀌고 있다. 과거처럼 취약점을 많이 찾아내는 방식이 아니라, 실제 공격으로 이어질 수 있는 ‘진짜 위험’만 선별하는 정밀 보안이 새로운 기준으로 떠오르는 흐름이다.

이 같은 변화 속에서 쿠도커뮤니케이션이 글로벌 애플리케이션 보안 기업 블랙덕(Black Duck)과 손잡고 시장 공략에 나섰다.

◇AI 코드 확산… 생산성↑ 리스크도 동반 증가

최근 AI 기반 코드 생성이 빠르게 확산되며 개발 생산성은 크게 향상됐다. 하지만 동시에 보안 취약점과 품질 리스크 역시 함께 증가하는 ‘양날의 검’ 양상이 나타나고 있다.

특히 AI가 생성한 코드는 기존 보안 도구로는 실제 위험과 단순 경고를 구분하기 어려워, 개발 및 보안 조직의 피로도를 높이는 요인으로 지적돼 왔다. 과도한 경고(노이즈)로 인해 정작 중요한 위협 대응이 지연되는 문제도 반복되고 있다.

이 같은 한계를 해결하기 위해 등장한 것이 블랙덕의 ‘시그널(Signal)’이다. 이 솔루션은 AI와 사람이 작성한 코드를 실시간으로 분석해 보안 취약점과 결함을 식별하고, 실제 악용 가능성이 높은 항목만을 ‘신호’로 선별해 우선순위를 제공한다.

이를 통해 조직은 불필요한 경고를 줄이고, 대응이 필요한 핵심 위험에 집중할 수 있다. 또한 검증된 수정 방안을 제안하거나 자동 대응까지 지원해, 개발 속도를 유지하면서 보안 수준을 높일 수 있도록 설계됐다.

시그널은 다수의 AI 에이전트가 협업하는 ‘에이전틱 AI(AppSec)’ 구조를 기반으로, 분석부터 수정까지 전 과정을 자동화한 것이 특징이다. 여기에 장기간 축적된 보안 인텔리전스와 대규모 언어모델(LLM)의 추론 능력을 결합해 정확도를 끌어올렸다.

◇블랙덕, ‘코드 보안’ 글로벌 강자

블랙덕은 오픈소스 소프트웨어 보안과 소프트웨어 공급망 관리 분야에서 강점을 지닌 글로벌 애플리케이션 보안 기업이다. 기업이 사용하는 오픈소스 구성 요소를 분석해 취약점과 라이선스 리스크를 식별하고, 안전한 소프트웨어 개발과 운영을 지원하는 것이 핵심 사업이다.

AI 코드 확산 이후에는 생성형 AI가 만든 코드까지 분석·검증하는 방향으로 영역을 확장하며, ‘코드 보안’ 분야의 핵심 플레이어로 자리매김하고 있다.

블랙덕의 옌 청 APAC 채널 총괄은 “AI 기반 코드 생성이 급증하면서 실제 악용 가능한 취약점을 선별하는 능력이 더욱 중요해졌다”며 “개발 흐름을 방해하지 않으면서 실질적인 위험에 집중하는 보안 방식이 필요하다”고 강조했다.

쿠도커뮤니케이션 김철봉 부사장도 “AI 개발 환경에서는 속도와 보안을 동시에 확보하는 것이 기업 경쟁력의 핵심”이라며 “국내 기업들이 ‘실제 위험 중심’ 보안 체계를 구축할 수 있도록 지원할 것”이라고 밝혔다.

이번 협력은 AI가 코드 생산을 주도하는 시대에 대응해 ‘정밀·자동화 보안’ 시장을 선점하려는 전략적 행보로 평가된다.