앱 개발자와 운영팀을 위한 인공지능 기반 소프트웨어 배포 플랫폼을 제공하는 하니스(Harness)가 보안 취약점 탐지 스타트업 큐아이엇AI(Qwiet AI)를 인수했다. 이번 인수는 DevOps 파이프라인 전반에 걸쳐 보안 기능을 자동으로 통합하려는 하니스의 전략을 강화하는 조치로 평가된다.

하니스는 코드 전송, 테스트, 배포 전 과정을 자동화하는 ‘서비스형 지속적 배포(continuous delivery-as-a-service)’ 플랫폼으로 알려져 있으며, 이번 인수로 코드 개발 단계에서부터 치명적 보안을 사전에 차단하는 기능을 고도화할 계획이다. 하니스에 합류한 라훌 수드(Rahul Sood) 신임 보안 총괄 총괄책임자는 이번 인수를 통해 "보안이 DevOps의 구성 요소로 완전히 녹아들 것"이라고 강조했다. 그는 먼저 팔로알토 네트웍스(PANW), 이후 구글(GOOGL)에서 활동했던 업계 인사다.

하니스가 주목한 큐아이엇의 핵심 기술은 ‘코드 속성 그래프(Code Property Graph)’다. 이는 코드 내 데이터 흐름과 제어 흐름을 AI로 분석해 정확도 높은 취약점 탐지 및 제거가 가능하도록 돕는다. 특히 큐아이엇은 탐지 정밀도를 높이면서도 오탐 비율을 대폭 낮추는 것으로 업계에서 평가 받고 있으며, 오픈소스 취약점 탐지율은 92%에 달한다.

보안 기능을 기존 개발 흐름에 별도 도구로 붙이는 방식이 아닌, 하니스 구조 안에 자체 기능으로 흡수하는 것이 전략의 핵심이다. 수드는 “도구 피로도(tool sprawl)에 시달리는 개발자들이 최대 수혜자가 될 것”이라며, “필요 없는 알람을 거르고 실제로 중요한 문제를 자동으로 우선순위화해 처리할 수 있도록 만들 것”이라고 말했다.

특히 이번 인수는 AI 제작 코드의 확산과 그에 따른 보안 불안정 문제를 염두에 둔 것이기도 하다. 최근 보고서에 따르면 대형 언어모델이 생성하는 코드는 절반 가까이가 보안에 취약한 것으로 나타났다. 하니스의 창업자이자 CEO인 조티 반살(Jyoti Bansal)은 “AI 시대에도 DevOps는 자동화만이 아니라 안전한 자동화가 핵심”이라며 인수의 당위성을 강조했다.

이번 M&A는 올해 3월 하니스가 API 보안 전문 기업 트레이서블(Traceable)과 합병한 데 이은 보안 기술 강화의 연장 선상에 있다. 당시 트레이서블의 런타임 보안 기술과 하니스의 소프트웨어 딜리버리 그래프 통합이 주된 방향이었다. 수드에 따르면 큐아이엇의 에이전틱 AI 역량까지 얹어지면, 단일 벤더로서는 구현이 어려운 ‘DevSecOps 올인원’ 플랫폼이 완성된다는 설명이다.

하니스는 이번 전략적 인수를 통해 코드 작성부터 실행까지의 전 주기에 걸쳐 보안을 선제적으로 실행하는 자동화 파이프라인을 실현함으로써, 보안과 개발의 이분법적 한계를 허문다는 청사진을 본격 구현하게 됐다.