인공지능(AI)의 도입이 실험 단계에서 실제 운영으로 옮겨가며 보안 위협에 대한 우려가 커지는 가운데, 어플리케이션 보안 전문 기업 아피로(Apiiro)가 이에 대응할 신기능을 공개했다. 아피로는 자사의 ‘AI 구성 요소 명세서(AI Bill of Materials)’를 확장해, AI 에이전트와 모델 컨텍스트 프로토콜(MCP) 서버까지 탐지할 수 있도록 시스템을 업그레이드했다고 밝혔다.

아피로는 2023년부터 코드 기반 내 생성형 AI 프레임워크를 식별하는 ‘심층 코드 분석(Deep Code Analysis)’을 통해 보안 관점에서 AI 기술의 가시성을 확보하는 데 주력해왔다. 당시에는 AI 기술 도입이 제한된 범위에서 이뤄졌으나, 2025년 현재 AI 모델이 코드에 직접 삽입되며 MCP 서버 배포와 AI 에이전트 활용이 일상화된 상황이다. 이에 따라 정보보안 책임자(CISO)와 애플리케이션 보안팀은 입력 및 출력의 취약성, 비밀 정보 노출, 데이터 누수 등의 위험 요소와 직면하고 있다.

이번 확장을 통해 아피로는 AI 관련 자원 전체를 소프트웨어 아키텍처 그래프에 통합하고, 이를 지속적으로 인벤토리화함으로써 보안팀의 관제 효율을 높였다. 해당 기술은 AI 프레임워크, 데이터셋, 모델 아티팩트, 민감 정보 등을 API, 오픈소스, 컨테이너 등 다른 구성요소와 함께 분석해 보안 리스크를 입체적으로 파악할 수 있도록 지원한다.

예를 들어, 허깅페이스(Hugging Face)의 파이썬 클라이언트를 사용하는 사례는 단독으로 봤을 때는 사소해 보일 수 있지만, 취약한 API 및 코드 결함과 연결되면 리스크 수치는 크게 달라진다. 아피로의 방식은 이러한 요소들을 러ntime 및 비즈니스 맥락과 함께 정규화하고 강화해, 의미 있는 위협 인사이트로 전환시키는 데 초점을 맞추고 있다.

또한 아피로는 서비스나우(ServiceNow) 같은 구성관리 데이터베이스(CMDB)와 연동해 AI자원과 비즈니스 서비스 및 담당자 정보를 연결하는 기능도 추가했다. 이를 통해 보안팀은 코드 내 AI 요소가 어디에 존재하는지 파악할 수 있고, 이를 관리할 책무자를 추적할 수 있게 됐다.

아피로는 개발자에게도 실질적인 개선 경험을 제공하고 있다. 코드 병합 시점의 풀 리퀘스트에 보안 리스크와 수정 조치 안내를 함께 제공함으로써, 별도의 경고 체계 없이 개발 프로세스 내에서 알림과 대응 방안을 받을 수 있도록 했다.

회사는 이처럼 ‘AI를 소프트웨어 그래프의 일부로 인식하는 관점’이 전체 애플리케이션 생태계를 아우르는 실질적인 거버넌스 체계를 가능하게 만든다고 강조한다. 이 접근법은 단순히 스캐너를 추가하는 방식에서 벗어나, 정책 준수, 위협 모델링, 내부 인증 관리 등 전반을 아우르는 보안 전략으로 진화할 수 있다.

아피로는 보안 기술의 역사는 반복된다고 말한다. 클라우드, 컨테이너, 오픈소스 등 새로운 기술의 물결마다 혁신과 함께 리스크가 따라왔다. 기술별 도구에 의존한 기업은 중복 문제와 관리 불가능한 경고에 시달렸지만, 전체적인 위험 지형을 모델링한 조직은 확장성과 규제를 동시에 수행할 수 있었다는 설명이다.

아피로는 AI 역시 이 같은 연속선상에 있으며, 과거의 실수를 반복하지 않기 위해서는 기술 초기부터 소프트웨어 구조 안에 AI를 체계적으로 포함시켜야 한다고 말했다. 이러한 방식으로 조직은 혁신의 속도를 유지하면서도 명확한 통제력을 확보할 수 있다고 강조했다.