AI 도입이 가속화된 개발 환경에서 가장 큰 과제 중 하나는 ‘탐지 후 해결’의 지연이다. 기업은 취약점 탐지 기술을 고도화했지만, 실제 수정까지 이어지는 과정에서 여전히 시간과 인력의 병목을 겪고 있다.

글로벌 애플리케이션 보안 기업 앱토리(Aptori, CEO 수밋 싱)가 AI 기반 자동 수정 에이전트 ‘코드-Q(Code-Q)’를 공식 출시했다. 코드-Q는 확인된 취약점에 대한 수정 코드를 자동 생성·검증·적용하는 보안 자동화 솔루션으로, 기존의 탐지 중심 보안을 ‘탐지-치료 통합 루프’로 진화시킨다.

의미론적 코드 분석 기반 자동 수정...CI/CD 내 즉시 실행

코드-Q는 앱토리의 결정론적 취약점 검증 기술 ‘AI 트리아지(AI Triage)’를 기반으로 한다. 단순한 텍스트 예측형 모델이 아닌 코드의 의미론적 그래프를 해석해 의도와 로직을 추론하고, 검증 가능한 수정안을 생성한다.

개발자는 IDE나 CI/CD 환경에서 즉시 수정 제안을 확인하고 병합할 수 있으며, 깃허브·깃랩·애저 데브옵스(GitHub·GitLab·Azure DevOps) 등 주요 개발 도구와 연동된다. ‘git push → scan → fix’ 시퀀스의 일부로 자동 수행되며, 모든 변경 내역은 감사 가능한 형식으로 기록돼 SOC 2, PCI DSS, NIST 등 규정 준수를 지원한다.

앱토리의 SMART(Semantic Modeling for Application & API Risk Testing) 엔진이 핵심 역할을 수행한다. 코드베이스 전반의 데이터 흐름과 제어 경로, 권한 부여 로직을 분석해 단순 패턴 교체가 아닌 원인 중심의 수정안을 제시한다. 이를 통해 AI가 단순한 생성 도구를 넘어 실제 보안과 개발 프로세스를 통합하는 역할을 수행한다.

검증된 결과와 설명 가능한 보안...선제적 보안 자동화 실현

앱토리 CEO 수밋 싱(Sumeet Singh)은 “보안 도구가 문제를 식별하는 능력은 이미 충분하지만, 그 통찰을 실행으로 옮기는 것이 과제”라며 “코드-Q는 숙련된 개발자가 직접 작성하는 수준의 수정안을 생성·검증하고, 그 이유를 설명 가능한 맥락과 함께 제공한다.”고 말했다.

핀테크 기업 렐쿠(Relcu)의 CEO 아비자트 타쿠르(Abhijat Thakur)는 “앱토리 덕분에 보안 문제가 개발 프로세스 속에서 자연스럽게 탐지·해결돼 안정성과 속도를 모두 확보할 수 있었다.”고 밝혔다.

조기 도입 기업들은 수천 건에 달하던 미해결 취약점 백로그가 획기적으로 감소했다고 보고했다. 수작업 검토 대신 코드-Q의 자동화 프로세스로 수정 시간을 며칠에서 수분 단위로 단축했다.

앱토리는 이번 출시를 통해 코-Q를 자사 보안 플랫폼의 핵심 모듈로 통합했으며, IDE·CI/CD·소스 제어 시스템 전반에서 사용할 수 있는 배포 옵션을 제공한다.