NEWSkillSec — AI Skill 보안을 '악성코드 탐지'에서 '능력 감사'로SkillSec자세히 보기 →
트렌드

AI가 소프트웨어 공급망을 다시 쓰고 있다——보안은 따라잡을 수 있는가?

Sectrend 리서치·2026.06.18·1 분 분량

소프트웨어를 만드는 방식이 AI에 의해 다시 쓰이고 있다. 한때 한 줄씩 작성되던 코드는 이제 대부분 모델이 생성한다. 한때 신중히 검증되던 의존성은 이제 워크플로 안에서 Agent가 자동으로 끌어온다. 생산 속도가 한 자릿수 도약하면, '릴리스 전 한 번 스캔'에 의존하는 보안은 게이트키퍼에서 사후 감사자로 강등된다.

무너지고 있는 세 가지 가정

기존 소프트웨어 구성 분석은 몇 가지 암묵적 가정 위에 서 있다——그리고 그것들이 하나씩 무너지고 있다.

  • 의존성은 사람이 추가한다: 개발자는 자신이 무엇을 끌어왔는지 안다. Agent 주도 개발에서는 자동 리팩터링 중에 의존성이 조용히 바뀔 수 있다.
  • 패키지 이름=내용: requests라고 선언하면 requests여야 한다. 타이포스쿼팅과 탈취된 버전이 이름을 신뢰할 수 없게 만든다.
  • 탐지와 수정은 별개의 단계: 스캔하고, 계획하고, 수정한다. 코드가 분 단위로 이터레이션하는 시대에 그 왕복은 따라잡을 수 없다.

보안은 생산의 순간으로 옮겨가야 한다

답은 더 빨리 스캔하는 것이 아니라 보안을 생산 라운드 자체에 내장하는 것이다. 개발자(또는 Agent)가 코드를 작성하는 바로 그 순간에 문제를 탐지하고, 적용 가능한 수정을 제공하며, 즉시 검증한다——'발견'과 '수정'을 한 번의 턴으로 수렴시킨다.

생산이 실시간이면 보안도 실시간이어야 한다. 사후 인벤토리는 실시간 생산을 결코 따라잡을 수 없다.

'인벤토리'에서 '능력'으로

SBOM은 '무엇을 사용했는가'에 답한다. 하지만 AI 시대의 진짜 질문은 '활성화되면 무엇을 할 수 있는가'다. Skill, MCP 서버, Agent 도구——각각은 코드뿐 아니라 일련의 능력과 권한을 들여온다. 보안의 다음 목적지는 정적 구성 인벤토리에서 동적 능력 감사로 옮겨가는 것이다.

바로 그 때문에 우리는 CleanCode, CleanSource SCA, SkillSec을 만들었다——보안이 AI의 소프트웨어 재작성에 발맞출 수 있도록.

AISoftware Supply ChainSCAAgent

관련 글

딥다이브

SBOM은 컴플라이언스 체크리스트 그 이상이다

많은 팀이 SBOM을 '제출할 서류'로 취급한다. 하지만 가치 있는 SBOM은 의사결정을 이끈다——어떤 취약점이 악용 가능한지, 어떤 의존성을 먼저 고칠지, 어떤 라이선스가 리스크를 안고 있는지.