“AI가 취약점 직접 고친다”…깃랩, 금융·공공 자율 보안 플랫폼 제시 작성일 05-27 21 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">[NSIS 2026] “코드 생성보다 관리 중요”…깃랩 데브섹옵스 소개</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="untb3zZvhK"> <figure class="figure_frm origin_fig" contents-hash="ebe819d4c306ba4979bae85bdd0ed005e702908fbace839d52b03f830c34f243" dmcf-pid="7LFK0q5TTb" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202605/27/552796-pzfp7fF/20260527130246060khis.jpg" data-org-width="640" dmcf-mid="U7CXlYsAW9" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/27/552796-pzfp7fF/20260527130246060khis.jpg" width="658"></p> </figure> <p contents-hash="aa63e1a632088ff8718038834ccf9b5146f26be3a54633e26a57428a6e28cdc1" dmcf-pid="zo39pB1ySB" dmcf-ptype="general">[디지털데일리 윤서연기자] AI 에이전트가 소프트웨어 개발 현장 전반으로 확산되면서 금융·공공 분야 보안 체계도 사후 대응 중심에서 자율 보안 중심으로 빠르게 이동하고 있다. 개발 단계부터 AI가 취약점을 탐지하고 수정까지 수행하는 ‘에이전틱 데브섹옵스(DevSecOps)’가 차세대 보안 운영 모델로 부각되는 모습이다.</p> <p contents-hash="969b16cec8493a00122e95d96da719ec9303a0a768cbca08843705ac6345283d" dmcf-pid="q9IHhWmjTq" dmcf-ptype="general">감정한 깃랩 솔루션 아키텍트는 27일 서울 중구 롯데호텔 서울에서 <디지털데일리>가 개최한 ‘NSIS 2026’에서 “현재 시장은 AI 에이전트가 얼마나 많은 코드를 생성할 수 있는지에 집중하고 있지만 실제로는 그렇게 양산된 코드에 대한 리뷰와 보안 관리가 훨씬 중요해지고 있다”고 말했다.</p> <p contents-hash="7a4fe91bfb4572f3b4417b05d9f9fd0cc8c505fc0deb7d45eccd869f1533b3e4" dmcf-pid="B2CXlYsAhz" dmcf-ptype="general">그는 “전체 웹 트래픽 가운데 53%가 자동화 봇에서 발생하고 이 중 40%는 악성 봇 트래픽”이라며 “자동 생성 코드는 실제 사용자 세션과 구별이 어려워 API와 애플리케이션 로직을 직접 공격하는 새로운 위협이 될 수 있다”고 설명했다.</p> <p contents-hash="15999012bc7667e7690ab50480fb7ed0f9c6467f16185c96f96abe25d8da4e58" dmcf-pid="bVhZSGOcC7" dmcf-ptype="general">이날 발표에서 그는 AI 에이전트를 활용해 개발·배포·보안을 하나의 워크플로로 통합하는 방향성을 강조했다. 개발 이후 별도 보안 점검을 수행하던 기존 방식에서 벗어나 개발 초기 단계부터 보안을 내재화하는 구조다.</p> <p contents-hash="27847b5a2ecae56144624ba6b0f7124c3d4856c7135b4a8f9ccfcc09d41f395b" dmcf-pid="Kfl5vHIkyu" dmcf-ptype="general">감 아키텍트는 깃랩의 데브섹옵스 구조를 소개하며 “코드가 푸시되면 자동으로 파이프라인이 실행되고 그 안에서 테스트와 보안 스캐닝이 동시에 수행된다”며 “보안이 개발 마지막 단계가 아니라 개발 과정 전체에 녹아드는 구조”라고 말했다.</p> <p contents-hash="4bf8889ff4b11cbece764499ee9682ddfdcd1b37014b7a09e0549dd5a685a257" dmcf-pid="94S1TXCEyU" dmcf-ptype="general">깃랩은 이를 위해 정적 애플리케이션 보안 테스트(SAST)·동적 애플리케이션 보안 테스트(DAST)·시크릿 탐지·의존성 스캐닝·코드형 인프라(IaC) 스캐닝 등을 통합 제공하고 있다. 코드 내부 패스워드·토큰 유출 여부를 탐지하는 기능부터 컨테이너 이미지 취약점 분석까지 개발 전 과정 보안을 자동화하는 방식이다.</p> <p contents-hash="d821ef9152dc1ca20151b16af13dcb19b3fd80c74aea67d939d2543ced832d05" dmcf-pid="28vtyZhDlp" dmcf-ptype="general">특히 ‘시프트 레프트(Shift Left)’ 전략도 강조했다. 개발자가 코드를 커밋하고 푸시하기 전 단계인 IDE 환경에서부터 취약점을 탐지해 수정 비용을 줄이는 방식이다.</p> <p contents-hash="3c290bb3e0430fef92d7fa8cc450063910286181e30c456a5fc1d76aa504335b" dmcf-pid="V6TFW5lwl0" dmcf-ptype="general">감 아키텍트는 “파이프라인이 돌아야만 스캐닝이 수행되는 구조는 리소스 낭비가 될 수 있다”며 “IDE 단계에서 SAST가 자동 실행돼 개발자가 취약점을 즉시 확인할 수 있도록 지원한다”고 설명했다.</p> <p contents-hash="ddee6fac78fb1b5059e5fe7efd639c5fa49c42343169327777622e943b2996c2" dmcf-pid="fPy3Y1Srh3" dmcf-ptype="general">AI 기반 자동 수정 기능도 공개했다. 깃랩의 AI 플랫폼 ‘깃랩 듀오(GitLab Duo)’는 취약점 설명·코드 리뷰·테스트 생성·근본 원인 분석 등을 지원한다. 특히 머지 리퀘스트 단계에서 AI가 직접 취약점 패치를 생성하고 수정 코드까지 제안할 수 있다는 점이 특징이다.</p> <p contents-hash="7d2c0f524783bc53e45f5490cea5c1cab163d618c094e404115a268c9e0fdd8d" dmcf-pid="4QW0GtvmSF" dmcf-ptype="general">감 아키텍트는 “듀오 AI 자동 해결 기능을 활용하면 에이전트가 취약점 위치와 원인을 파악한 뒤 자동으로 머지 리퀘스트를 생성한다”며 “개발자는 수정된 코드를 검토하고 승인하는 방식으로 대응 속도를 높일 수 있다”고 말했다.</p> <p contents-hash="3de9055e074bc3b6133e13ce7bfa99300ee05b7020674a0633d54b11d618ec6d" dmcf-pid="8xYpHFTsvt" dmcf-ptype="general">금융·공공 시장을 겨냥한 컴플라이언스 기능도 강조했다. 깃랩은 사용자 로그인·권한 변경·보안 정책 수정 이력을 모두 감사 이벤트 로그로 남기고 외부 보안관제 시스템과 연동할 수 있도록 지원한다.</p> <p contents-hash="915268eb6b0b3a38254a6cb35497324edb67e7c42ad1b758c4e0bc1362c0c909" dmcf-pid="6zwTmlkLy1" dmcf-ptype="general">보안 정책 우회 여부까지 기록돼 규제 산업군에서 요구하는 추적성과 감사 체계 확보에 활용 가능하다는 설명이다. 또 프로젝트별 취약점 현황과 보안 등급을 시각화한 대시보드 기능으로 조직 통합 관리 효율성을 높일 수 있다고 덧붙였다.</p> <p contents-hash="b12abab26d8eed698f774f412e158fda24b32e72047fc1f01764eff6ceca38f4" dmcf-pid="PqrysSEoh5" dmcf-ptype="general">감 아키텍트는 “개발과 보안·컴플라이언스를 하나의 플랫폼에서 통합 관리하면 여러 툴을 오가며 발생하는 비효율과 운영 부담을 줄일 수 있다”며 “취약점 테스트와 거버넌스를 통해 보안 위험을 낮추고 결과적으로 더 빠르고 안전한 소프트웨어 개발 환경을 구축할 수 있다”고 강조했다.</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.</p> 관련자료 이전 “해커 들어와도 못 움직이게”…시스코가 제시한 AI 시대 보안법 05-27 다음 채연, 눈물 셀카 비화 “진짜 힘들어서 울어, 흑역사 됐지만 오히려 좋아”(유배라) 05-27 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
