시스코(Cisco)가 AI 코드 생성의 보안 문제를 정면 돌파하기 위한 오픈소스 프레임워크를 공개했다. 이 프레임워크는 프로그래밍 전주기 과정에 적용할 수 있도록 설계돼, AI 도우미가 작성한 코드의 취약성 감소에 중점을 두고 있다.
16일(현지시간) 발표된 프로젝트 코드가드(Project CodeGuard)는 특정 AI 모델에 종속되지 않으며, 코드 생성 전 단계부터 사후 검토 단계까지 보안 장치를 삽입할 수 있도록 구성됐다. 시스코는 이를 통해 AI가 작성한 코드가 ‘기본적으로 안전한’ 상태로 배포될 수 있게 하고자 한다고 밝혔다.
초기 버전의 코드가드는 OWASP(Open Worldwide Application Security Project) 및 CWE(Common Weakness Enumeration)의 산업 표준을 기반으로 핵심 보안 규칙을 구성했다. 이 규칙들은 하드코딩된 비밀 값, 입력값 검증 누락, 구버전 암호화 기술, 지원 종료된 라이브러리 의존 등의 반복적인 취약점을 차단하는 데 집중한다.
시스코는 단일 보안 규칙도 소프트웨어 개발 전 과정에서 일관되게 적용돼야 효과적이라고 강조했다. 예컨대 입력값 검증 규칙은 설계 단계에서부터 안전한 코딩 패턴을 제시하고, 코드 작성 중에는 실시간 점검 기능을, 이후 리뷰 단계에서는 실제로 해당 기능이 적용됐는지를 검증한다.
코드가드는 또한 커뮤니티 주도형 규칙셋과 인기 있는 AI 코딩 도구용 변환 도구, 자동 보안 검증 기능을 포함하고 있다. 이를 통해 개발팀이 코드 품질을 담보하면서도 보안을 자동화할 수 있도록 돕는다는 전략이다.
다만 시스코는 코드가드가 인간 개발자의 역할을 대체하는 것은 아니라고 선을 그었다. 내부 검토 및 전문가의 협업 없이는 완전한 보안이 보장되지 않는다는 점에서는 기존 방식과 동일하다는 설명이다. 그럼에도 AI의 생산성이 높아질수록 손쉬운 보안 취약점이 무심코 배포되는 가능성을 줄일 수 있다는 점을 강조했다.
프로젝트는 아직 초기 단계에 있으며, 향후 다양한 프로그래밍 언어 지원 확대, 더 많은 AI 코딩 플랫폼용 어댑터, 자동 규칙 검증 시스템 등이 추가될 예정이다. 또한 시스코는 보안 전문가 및 AI 연구자들에게 새 규칙 제안, 변환 도구 개발, 실사용 피드백 제공 등을 GitHub 공개 저장소를 통해 요청하고 있다.
AI 코딩 기술이 확산되는 가운데, 시스코의 코드가드는 자동 생성 코드의 보안 취약점 대응이라는 미개척 분야에 중요한 이정표 역할을 할 것으로 기대된다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>