애플리케이션 구조가 복잡해지고 생성AI 기반 코딩 도구 확산으로 개발 속도가 빨라지면서, 기존 정적 분석(SAST) 도구로는 포착하기 어려운 비즈니스 로직 취약점이 증가하고 있다. 최근 버그바운티 데이터에서는 IDOR(불안전 직접 객체 참조)와 권한 부여 오류 등 손상된 액세스 제어 유형이 전체 심각·치명적 취약점의 약 절반을 차지하는 것으로 나타났다.

이러한 취약점은 개발자의 의도, 권한 흐름, 애플리케이션의 실제 컨텍스트를 파악해야만 탐지가 가능하기 때문에 기존의 규칙 기반 스캐너로는 한계가 존재한다. 이에 따라 보안팀과 개발팀은 자동화된 탐지 정확도, 낮은 오탐률, 정책 기반 제어 능력을 동시에 확보할 수 있는 ‘AI+결정적 분석’ 방식의 새로운 코드 보안 접근이 요구되고 있다.

오픈소스 기반 애플리케이션 보안 플랫폼 셈그렙(Semgrep, CEO 아이작 에반스)이 비즈니스 로직 취약점을 자동 탐지하는 AI 기반 기능의 비공개 베타 버전을 발표했다.

이번 기능은 기존 SAST가 포착하기 어려운 인증 결함, IDOR, 권한 부여 오류 등을 LLM 상황 추론과 결정적 규칙 분석을 결합한 하이브리드 방식으로 식별한다. 알파 테스트에서는 참여 고객 80% 이상이 심각한 IDOR을 발견했으며, 경쟁 AI 코딩 어시스턴트 대비 1.9배 높은 회수율을 기록했다.

AI 기반 하이브리드 분석으로 비즈니스 로직 취약점 탐지 정확도 강화

AI 기반 탐지는 개발자의 행위 의도·권한 흐름·컨텍스트 종속 구조를 분석해 기존 SAST가 탐지하기 어려웠던 IDOR, 권한 부여 결함 등을 자동으로 식별한다. 이는 버그바운티 및 침투테스트에서 반복적으로 발생하는 고위험군 취약점을 운영 단계 이전에서 탐지할 수 있는 실질적 대안으로 평가된다.

셈그렙은 대규모 언어 모델의 상황 추론 능력에 규칙·정책·가드레일 기반의 결정적 분석을 결합한 하이브리드 시스템을 적용했다. 이 방식은 순수 LLM 방식에서 발생하는 높은 오탐률(테스트 결과 SQL 인젝션 탐지에서 95~100% 오탐)을 해결하고, 예측 가능성과 안정성을 확보한다.

알파 프로그램에서는 실제 고객 저장소를 스캔한 결과, 고객의 약 80%가 최소 1개 이상의 고위험 IDOR을 확인했다. 또한 IDOR 탐지 회수율은 Claude Code 등 독립형 AI 코드 어시스턴트 대비 1.9배 높았다. 이는 AI 추론과 규칙 기반 분석을 결합한 방식이 비즈니스 로직 보안에서 우수한 정확도를 제공함을 입증한다.

홈베이스(Homebase) 수석 보안 엔지니어 민 응이엠(Minh Nghiem)은 “심각도가 높은 책임 있는 정보 공개 결과의 대부분이 권한 부여 논리 결함과 관련되어 있다”며 “셈그렙의 AI 기반 탐지 기능은 내부 연구원을 CI 파이프라인에 통합한 것처럼 이러한 결함을 자동으로 식별한다”고 말했다.

셈그렙 아이작 에반스(Isaac Evans) CEO는 “AI는 코드 보안 접근을 크게 변화시키고 있으며, 셈그렙은 이 변화의 선두에 있다.”며 “대규모 언어 모델 개선은 곧바로 고객의 이익으로 이어지며, 하이브리드 접근 방식은 LLM 단독 방식이 도달할 수 없는 수준의 보안 능력을 제공한다.”고 밝혔다.

회사 측은 비공개 베타 단계에서 고객 사례·탐지 정확도·운영 정책 효과 등을 추가 검증한 후, 향후 정식 버전 출시 시 SAST·거버넌스·규정 준수 체계와의 통합 기능을 강화할 계획이다.