정적 애플리케이션 보안 테스팅(Static Application Security Testing, SAST)는 소프트웨어 개발 생명 주기(SDLC)의 초기 단계에서 애플리케이션의 소스 코드, 바이트 코드 또는 바이너리 코드를 분석해 잠재적인 보안 취약점을 식별하는 화이트박스 테스팅 방법으로, 개발 초기 단계 취약점 발견, 코드 분석, 자동화된 테스트를 지원해 애플리케이션 보안을 지원한다.

SAST는 주로 개별 코드 단위의 보안 취약점을 식별하는 데 초점을 맞추며, 특정 프로그래밍 언어나 프레임워크에 특화된 경우가 많고, 코드를 실행하지 않고 분석하기 때문에 실제 런타임 환경에서의 애플리케이션 동작을 완전히 이해하는 데 한계가 있다.

이에 SAST가 제공하는 코드 수준의 정적 보안 분석을 넘어, 애플리케이션의 아키텍처, 런타임 동작 예측, 다양한 기술 스택에 대한 분석, 그리고 코드 품질 및 유지보수성 분석을 지원하는 ‘컨텍스트 기반 애플리케이션 보안 테스팅(Contextual Application Security Testing, CAST)’가 주목받고 있다.

애플리케이션 및 API 보안 기업 고스트 시큐리티(Ghost Security, 이하 고스트)가 SAST의 한계를 지적하고 AI 기반 분석 기술인 상황별 애플리케이션 보안 테스트(CAST)를 제안하는 데이터 중심의 연구 결과를 발표했다.

이 보고서는 수천 개의 오픈소스 저장소를 대상으로 한 실증 테스트를 통해 SAST 도구의 비효율성을 입증하고, CAST의 성능을 비교 분석하는 내용을 담고 있다.

SAST의 구조적 한계와 AI 기반 대안

보고서에 따르면, 기존 SAST 도구는 전체 알림 중 80% 이상이 오탐지거나 실질적인 조치를 취하기 어려운 결과였으며, 애플리케이션의 실제 로직이나 맞춤형 워크플로에 기반한 취약점을 감지하지 못했다. 반면, CAST는 대규모 언어 모델(LLM) 기반의 전문가 시스템을 활용해 코드의 구조와 의도를 정밀하게 분석하며, 실제 위협으로 연결되는 요소만 식별하는 데 중점을 두었다. 이를 통해 보안 실무자의 분류 작업량을 90% 이상 줄였다는 설명이다.

CAST는 단순히 AI 모델에 코드를 투입하는 방식이 아닌, 앱 특성에 맞는 언어별 지침과 상황 정보를 반영해 분석의 정확성을 높이는 것이 특징이다. 회사는 향후 CAST 시스템을 확장하여 애플리케이션 보안 자동화를 대규모로 구현하되, 정밀성과 심층 분석 능력을 유지하는 데 주력할 방침이다. 

고스트 시큐리의 보안 연구 책임자 브래드 기서먼(Brad Geesaman)은 “기존의 경고 중심 구조는 실질적인 리스크 식별에 도움이 되지 않는다”며 “코드베이스 구조를 심층 분석하고 실제적인 위협만 추출하는 AI 중심 접근이 필요했다”고 밝혔다. 공동 창립자이자 CTO인 조쉬 라슨(Josh Larsen)은 “CAST는 코드 구조와 논리를 이해한 기반 위에서 진짜 보안 위험을 식별하며, 보안팀이 쓸모없는 소음 대신 실질적인 위협에 집중할 수 있도록 돕는다”고 강조했다.