AI 코딩 보조도구의 진화에 따라 개발 속도가 빨라지는 동시에 보안 리스크도 커지는 가운데, 소프트웨어 공급망 보안 전문기업 소나타입(Sonatype)이 이를 겨냥한 새로운 솔루션을 내놨다. 소나타입은 9일(현지시간) 개발자들이 AI를 활용해 더 안전하고 고품질의 오픈소스 소프트웨어를 구축할 수 있도록 지원하는 ‘소나타입 가이드(Sonatype Guide)’를 공식 출시했다. 이 플랫폼은 AI 코딩 보조도구와 자동 연동돼 취약하거나 존재하지 않는 패키지를 배제하고, 신뢰성이 검증된 의존성만 활용하도록 돕는다.

소나타입 측은 기존 AI 모델들이 수개월 또는 수년 전의 오픈소스 리포지터리를 기반으로 훈련돼 현실과 동떨어진 잘못된 코드나 ‘허상 패키지’를 제안하는 경우가 잦다고 지적했다. 실제 소나타입이 조만간 공개할 예정인 연구에 따르면, 주요 생성형 AI 모델이 실제 존재하지 않는 오픈소스 구성요소를 추천하는 비율이 최대 27%에 달하는 것으로 나타났다. 이는 개발자들에게 재작업 부담과 함께 LLM 토큰 낭비, 더 나아가 보안 위협까지 초래할 수 있다.

소나타입 가이드는 이런 문제들을 해소하기 위해 개발 초기에 신뢰할 수 있는 레퍼런스를 확보하고, 의존성 관리를 자동화한다. 기업 대상으로 진행된 사전 테스트에서는 보안 성과가 300% 이상 향상됐고, 보안 패치에 소요되는 리소스를 대폭 줄이는 성과를 보였다. 또한 기존 솔루션 대비 의존성 업그레이드 비용을 5배 이상 절감했다.

바그왓 스와루프 소나타입 CEO는 “생산성 극대화를 바라는 모든 조직에게 AI는 매력적인 도구지만, 보안이나 유지보수성을 희생해서는 안 된다”며 “가이드는 AI 코딩 도구가 현명하고 신중한 선택을 할 수 있도록 눈을 달아준다. 업계에 있어 도약과도 같은 전환점이 될 것”이라고 강조했다.

소나타입 가이드는 깃허브 코파일럿, 구글 안티그래비티, AWS 키로, 인텔리J 기반 주니 등 주요 AI 코딩 플랫폼과 호환되며, 기존 워크플로우나 IDE 환경을 변경하지 않아도 된다. 핵심 기술은 개발자가 코드를 작성하는 즉시 패키지 추천을 가로채는 ‘모델 컨텍스트 프로토콜 서버(MCP)’로, 안전하고 검증된 패키지를 실시간으로 안내해준다. 이와 함께 전사급 오픈소스 검색 기능과 완전한 API 지원도 제공돼 기업 규모나 조직 형태와 상관없이 유연하게 활용 가능하다.

이번에 출시된 가이드의 기반 기술은 ‘소나타입 인텔리전스’로, 실시간 데이터 분석을 통해 취약점, 악성 패키지, 비활성화된 프로젝트 등을 선제적으로 식별할 수 있다. 이 지능형 엔진을 AI의 의사결정 프로세스에 내장함으로써 개발자들이 초기에 보다 안전하고 신뢰할 수 있는 기술 선택을 할 수 있도록 유도한다.

AI 기반 소프트웨어 개발이 확산되며 개발 생산성의 새로운 패러다임이 형성되고 있지만, 보안과 품질에 대한 우려 역시 더 커지고 있다. 이러한 가운데 소나타입 가이드는 기업들이 AI 도입의 딜레마를 해소하고, 안전한 코드 기반 위에 혁신을 이어갈 수 있도록 돕는 전략적 해결책이 될 전망이다.