소프트웨어 공급망 보안 전문 기업 쿠사리(Kusari)가 인공지능(AI)을 기반으로 한 새로운 풀리퀘스트(Pull Request) 보안 도구 ‘쿠사리 인스펙터(Kusari Inspector)’를 공개했다. 이 도구는 개발 자산에 대한 실시간 보안 점검과 함께, 개발자 일상 작업에 직접 통합되는 보안 분석 기능을 제공한다는 점에서 업계의 주목을 받고 있다.
쿠사리 인스펙터는 업계 표준, AI, 의존성 그래프 분석을 통합해 코드 통합 이전 단계인 풀리퀘스트 단계에서 소프트웨어 공급망 리스크를 감지하고 조치할 수 있도록 설계됐다. 이를 통해 보안 취약점이나 위험 요소가 메인 코드베이스에 반영되기 전 사전에 차단할 수 있는 것이 핵심이다.
해당 도구는 단순한 보안 패시브 스캐너가 아닌 통합형 분석 플랫폼이다. 개발자에게는 실시간으로 주석이 달린 위험 보고서와 함께 노출된 비밀 키, 잘못된 구성, 위험한 라이선스, 타이포스쿼팅 의존성 등에 대한 단계별 해결 가이드가 제공된다. 또한 쿠사리는 보안 위협 수준을 CVSS(공통 취약점 점수 시스템), EPSS(악용예측 점수 시스템), 정부 표준 취약점 카탈로그를 기준으로 순위를 매겨 개발자들이 우선 대응할 위협만 골라 집중할 수 있도록 돕는다.
쿠사리 인스펙터의 주요 강점은 학습형 AI에 있다. 코드베이스를 지속적으로 학습하며 보안 기준을 개선하고, 개발자가 직접 AI와 대화하면서 결과 해석, 보안 기준 설정, 코드 수정 방안까지 손쉽게 받아볼 수 있다. 동시에 각 리포지토리에 대한 소프트웨어 자재 명세서(SBOM) 데이터를 자동으로 생성해 조직 전반의 보안 정책 수립, 규제 준수 및 공급망 통합 관리를 지원한다.
쿠사리 공동창업자이자 최고기술책임자(CTO) 마이클 리버먼(Michael Lieberman)은 “쿠사리 인스펙터 설치는 단 몇 분이면 되며, 코드에 포함된 취약점과 라이선스 이슈를 즉시 추적할 수 있다”며 “보안 문제를 조기에 해소할 수 있어 반복적이고 지루한 리뷰 과정을 줄이는 데 큰 도움이 된다”고 설명했다. 그는 특히 “단 3분의 수정 작업이 수주에 걸친 승인 지연을 예방할 수 있다”고 강조했다.
쿠사리는 벤처 투자 기반 스타트업으로, 지난해 1월 800만 달러(약 115억 2,000만 원) 규모의 투자를 포함해 지금까지 총 808만 달러(약 116억 4,000만 원)를 유치했다. 주요 투자사로는 J2 벤처스, 글래스윙 벤처스, 언유주얼 벤처스 등이 있다.
AI와 보안 기술이 결합된 쿠사리 인스펙터는 소프트웨어 공급망 보안에 있어 개발 초기 단계에서의 개입이라는 새로운 변화를 제시하며, 보안 업계뿐 아니라 개발 조직 전체에서 파급력을 확산시킬 것으로 기대된다.