| 서울=한스경제 전시현 기자 | 21일 열린 기자간담회에서 옌 청 블랙덕 APAC 채널 총괄(APAC Alliances & Channels Sr. Director)은 생성형 AI 확산으로 개발 속도는 빨라졌지만, 그만큼 코드 보안의 정확도와 대응 속도도 함께 높아져야 한다고 강조했다. 블랙덕은 이날 AI가 생성한 코드와 사람이 작성한 코드를 함께 분석해 실제 악용 가능성이 큰 위험만 가려내는 보안 솔루션 ‘시그널(Signal)’을 앞세워 한국 시장 공략을 본격화하겠다고 밝혔다.
▲ AI가 짠 코드, 보안 판도 바뀐다
블랙덕 자료에 따르면 최근 생성형 AI 기반 개발이 빠르게 확산하면서 코드 생산성은 크게 높아졌지만, 보안 취약점과 품질 리스크도 함께 커지고 있다. 특히 AI가 생성한 코드는 기존 보안 도구만으로는 실제 위험과 단순 경고를 구분하기 어려워 개발 조직과 보안 조직의 부담이 커졌다는 게 회사 측 판단이다. 옌 청 총괄은 이날 “많이 찾아내는 보안”보다 “실제 위험에 집중하는 보안”이 중요해졌다는 점을 거듭 강조했다.
▲ ‘시그널’로 진짜 위험만 추린다
블랙덕이 전면에 내세운 시그널은 자동화된 개발 워크플로 안에서 AI가 생성한 코드와 사람이 작성한 코드를 실시간으로 분석해 보안 취약점과 결함을 식별하고, 실제 악용 가능한 위험만 ‘신호’로 선별해 우선순위를 제시하는 에이전트형 AI 애플리케이션 보안 솔루션이다. 블랙덕은 과도한 경고와 오탐을 줄이고, 검증된 수정 방안과 자동 대응 기능까지 지원하는 점을 시그널의 차별점으로 제시했다.
블랙덕 공식 자료에 따르면 시그널은 모델 컨텍스트 프로토콜(MCP)과 API를 통해 클로드 코드, 구글 제미나이, 깃허브 코파일럿 등 AI 코딩 보조 도구와 연동된다. 새 코드가 만들어지는 즉시 분석을 수행하고, 개발자가 코드 반영 전에 문제를 검토하고 수정할 수 있도록 설계됐다는 설명이다. 블랙덕은 다양한 프로그래밍 언어를 지원하며, AI 중심 개발 환경에 맞춘 보안 체계를 제공한다고 밝혔다.
▲ 25년 보안 데이터로 한국 공략
블랙덕은 이날 간담회에서 자사를 25년 업력의 애플리케이션 보안 테스트 전문 기업으로 소개했다. 한국 시장에는 2011년부터 진출해 활동해 왔고, 현대차·삼성·LG 등 국내 하이테크 제조기업과 한국인터넷진흥원(KISA) 등 정부 기관을 주요 고객·협력 대상으로 언급했다. 글로벌 사례로는 보잉, 씨티은행, 미국과 영국의 정부 기관, 방위 산업체도 제시했다. 블랙덕은 또 가트너 애플리케이션 보안 테스트(AST) 매직 쿼드런트에서 8회 연속 리더로 선정됐다고 밝혔다.
블랙덕은 자사가 25년간 오픈소스 커뮤니티 지원과 보안·라이선스 관리 과정에서 축적한 지식베이스를 바탕으로 최근 3년간 자체 엔진 ‘컨텍스트AI(ContextAI)’를 개발해 왔다고 설명했다. 공식 자료에서도 시그널이 20년 이상 축적한 인간 검증형 보안 인텔리전스를 기반으로 작동한다고 소개했다. 범용 AI 모델만으로는 잡아내기 어려운 보안 맥락을 반영해 판단 정확도를 높였다는 게 회사 설명이다.
▲ 오픈소스·공급망 보안도 전면에
이날 간담회에서 블랙덕은 AI 코드 보안을 단순한 코드 결함 문제가 아니라 소프트웨어 공급망 전체의 문제로 봐야 한다고 강조했다. 오늘날 소프트웨어와 대형언어모델이 오픈소스 기반 위에서 작동하는 만큼 취약점 점검뿐 아니라 라이선스 관리, 공급망 가시성 확보, 컴플라이언스 대응까지 함께 챙겨야 한다는 것이다. 블랙덕은 이런 점에서 오픈소스 관리와 공급망 보안 역량이 한국 기업의 AI 경쟁력과 직결될 수 있다고 설명했다.
회사 측은 컨텍스트AI를 통해 사람이 작성한 코드와 AI가 만든 코드, 바이너리 형태의 코드까지 읽고 스캔해 배포 가능 여부를 판단할 수 있다고 밝혔다. 블랙덕은 대형언어모델의 환각 가능성과 빠르게 변하는 취약점 환경을 감안하면, 애플리케이션 보안에 특화한 별도 검증 체계가 필요하다고도 했다. AI 활용이 늘수록 보안 판단은 더 정밀해져야 하고, 감사와 규제 대응까지 고려한 관리 체계가 필요하다는 얘기다.
▲ 규제 대응까지 겨냥한 시장 확대
블랙덕은 한국 시장 전략과 관련해 AI 활용 확대에 따른 보안 리스크뿐 아니라 해외 규제 대응 부담도 함께 커지고 있다는 점을 짚었다. 한국 기업들이 유럽과 미국 시장에 제품과 서비스를 공급하는 과정에서 보안, 감사, 컴플라이언스 요구를 더 촘촘히 맞춰야 하는 만큼 AI가 생성한 코드와 오픈소스 활용 이력을 정확히 점검하는 역량이 중요해졌다는 것이다. 국내 파트너인 쿠도커뮤니케이션도 한국 기업들이 AI 개발 속도를 유지하면서도 실제 위험 중심의 보안 체계를 구축할 수 있도록 지원하겠다는 입장을 밝혔다.
블랙덕이 이날 내놓은 메시지는 분명했다. AI 시대 애플리케이션 보안 경쟁은 이제 얼마나 많은 취약점을 나열하느냐가 아니라, 무엇이 진짜 위험인지 얼마나 빨리 가려내고 바로잡느냐로 옮겨가고 있다는 것이다. 이날 옌 청 총괄의 기자간담회는 한국 기업의 AI 개발 환경에서도 이제 보안의 기준이 ‘탐지 건수’에서 ‘실제 위험 판별’로 바뀌고 있음을 보여준 자리였다.
Copyright ⓒ 한스경제 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
