AI가 소프트웨어 공급망을 다시 쓰고 있다——보안은 따라잡을 수 있는가?
소프트웨어를 만드는 방식이 AI에 의해 다시 쓰이고 있다. 한때 한 줄씩 작성되던 코드는 이제 대부분 모델이 생성한다. 한때 신중히 검증되던 의존성은 이제 워크플로 안에서 Agent가 자동으로 끌어온다. 생산 속도가 한 자릿수 도약하면, '릴리스 전 한 번 스캔'에 의존하는 보안은 게이트키퍼에서 사후 감사자로 강등된다.
무너지고 있는 세 가지 가정
기존 소프트웨어 구성 분석은 몇 가지 암묵적 가정 위에 서 있다——그리고 그것들이 하나씩 무너지고 있다.
- 의존성은 사람이 추가한다: 개발자는 자신이 무엇을 끌어왔는지 안다. Agent 주도 개발에서는 자동 리팩터링 중에 의존성이 조용히 바뀔 수 있다.
- 패키지 이름=내용:
requests라고 선언하면requests여야 한다. 타이포스쿼팅과 탈취된 버전이 이름을 신뢰할 수 없게 만든다. - 탐지와 수정은 별개의 단계: 스캔하고, 계획하고, 수정한다. 코드가 분 단위로 이터레이션하는 시대에 그 왕복은 따라잡을 수 없다.
보안은 생산의 순간으로 옮겨가야 한다
답은 더 빨리 스캔하는 것이 아니라 보안을 생산 라운드 자체에 내장하는 것이다. 개발자(또는 Agent)가 코드를 작성하는 바로 그 순간에 문제를 탐지하고, 적용 가능한 수정을 제공하며, 즉시 검증한다——'발견'과 '수정'을 한 번의 턴으로 수렴시킨다.
생산이 실시간이면 보안도 실시간이어야 한다. 사후 인벤토리는 실시간 생산을 결코 따라잡을 수 없다.
'인벤토리'에서 '능력'으로
SBOM은 '무엇을 사용했는가'에 답한다. 하지만 AI 시대의 진짜 질문은 '활성화되면 무엇을 할 수 있는가'다. Skill, MCP 서버, Agent 도구——각각은 코드뿐 아니라 일련의 능력과 권한을 들여온다. 보안의 다음 목적지는 정적 구성 인벤토리에서 동적 능력 감사로 옮겨가는 것이다.
바로 그 때문에 우리는 CleanCode, CleanSource SCA, SkillSec을 만들었다——보안이 AI의 소프트웨어 재작성에 발맞출 수 있도록.
