현대 소프트웨어 개발 환경에 보안팀은 새롭게 추가되는 코드에서 위험 요소를 찾아내는 과제를 안고 있다. 기존 코드 스캐닝 도구는 많은 오탐을 유발하고, 개발자들은 오탐에 대한 분석 부담으로 인해 보안 검토를 생략하는 경우가 많다.

글로벌 AI 보안 기업 드라이런 시큐리티(DryRun Security)가 애플리케이션 보안팀(앱섹팀)이 자연어를 사용해 보안 정책을 작성하고 유지 관리할 수 있도록 돕는 ‘자연어 코드 정책(NLCP)’을 출시했다고 밝혔다. 

NLCP는 앱섹팀이 스크립트 정책 규칙을 작성하고 유지 관리하는 등의 복잡한 보안 규칙 작성 과정을 단순화한다. 언어 또는 프레임워크에 상관없이 모든 코드 베이스에 적용할 수 있는 통합 도구로, 개발자와 보안팀 모두의 능률을 높일 수 있다. 특히, 개발자가 자연어로 보안 정책을 작성하도록 지원하며, 코드 정책 정의와 시행 과정을 단축시킨다.

또한 보안 문제를 소프트웨어 개발 초기 단계에서 예방할 수 있게 하며, 실시간 정책 준수 모니터링을 가능하게 해주며, 직관적이고 도메인 중심적인 방식의 보안 정책 정의를 지원한다.

이 기술은 깃허브(GitHub)와 통합되어 개발자들에게 워크플로 내에서 즉각적인 보안 피드백을 제공하며, 코드 변경의 위험을 조기에 포착할 수 있게 한다. 

한편, 드라이런 시큐리티는 AI와 LLM의 초기 자동화 기능을 넘어, 맥락 보안 분석(CSA) 기법을 구축하고 있다. 이 접근 방식은 보안 위험을 식별하고 이를 개발자의 워크플로에 통합하는 기법으로, CSA는 정적 컨텍스트, 변경 컨텍스트 및 애플리케이션 컨텍스트를 계층화해 실시간으로 컨텍스트를 인식한다. 

드라이런 시큐리티의 투자사 리브오크 벤처스(LiveOak Ventures)의 파트너 크레이턴 힉스(Creighton Hicks)는 “현재의 패턴 매칭 도구 세대는 코드의 문자적 구문만을 엄격하게 보고 있지만, 이번에 출시된 기능은 복잡한 패턴 매칭 규칙을 작성할 필요를 제거할 뿐만 아니라 코드 컨텍스트와 행동을 기반으로 위험을 이해한다.”라고 말했다.