보장 수준별 4단계 전략
개요
| 단계 | 이름 | 핵심 수단 | 보장 수준 | 권장 대상 |
|---|---|---|---|---|
| 1단계 | 프롬프트 의존 | 없음 (개인 기억) | 낮음 | 개인 실험 |
| 2단계 | AI 규칙 내재화 | CLAUDE.md · .cursorrules 등 | 중간 | 팀 공동작업 |
| 3단계 | CI/CD 자동 차단 | syft · grype · ORT | 높음 | 팀·조직 |
| 4단계 | 지속적 모니터링 | Dependabot · Renovate + AI | 매우 높음 | 조직·전사 |
1단계는 지금 당장 시작할 수 있지만, 3단계부터 진정한 DevSecOps 게이트키퍼 역할을 합니다.
1단계: 프롬프트 의존 (Manual / Ad-hoc)
가장 도입이 쉽지만 가장 불안정합니다.
AI 도구에 직접 "MIT 라이선스만 써줘"와 같은 프롬프트를 입력해 라이선스나 보안 정책을 지키는 방식입니다. 도구나 설정 없이 바로 시작할 수 있다는 장점이 있지만, 모든 것이 개발자 개인의 역량과 기억에 전적으로 의존합니다. AI 환각(Hallucination)으로 인해 GPL 코드가 무심코 혼입되거나, 알려진 취약점이 있는 패키지 버전이 추천될 위험이 항상 존재합니다. 개인 실험이나 학습 수준에서는 충분하지만, 팀 협업 환경에서는 일관성을 보장하기 어렵습니다.
2단계: AI 규칙 내재화 (Tool-level Context Injection)
CLAUDE.md · .cursorrules · .clinerules 등 공통 규칙 파일을 저장소에 두어 AI가 코드를 작성할 때 자동으로 정책을 인지하도록 하는 방식입니다. 팀 전체가 동일한 규칙을 공유하고, 외부 라이브러리를 추가할 때 AI가 스스로 라이선스를 검토하거나 최신 안정 버전을 제안하는 효과를 기대할 수 있습니다. 다만 AI는 규칙을 어디까지나 "권장사항"으로 이해할 뿐, 100% 강제 차단(Hard Block)은 불가능합니다. 규칙 기반 공동작업을 바로 시작하고 싶다면 아래 링크를 참고하세요.
3단계: CI/CD 파이프라인 자동 차단 (Pipeline Enforcement)
PR 또는 Merge 전 파이프라인에서 SCA(소프트웨어 구성 분석) 도구로 기계적으로 검증하는 방식입니다. syft로 SBOM을 생성하고, grype로 취약점을 스캔하고, ORT 또는 FOSSA로 라이선스를 검사하는 조합을 통해 High/Critical 취약점이나 금지 라이선스가 발견되면 빌드를 강제로 실패시킵니다. 개발자나 AI의 실수와 무관하게 정책 위반 코드를 원천 차단할 수 있으며, 이 시점부터 진정한 의미의 게이트키퍼가 작동합니다.
4단계: 지속적 모니터링·자동 교정 (Continuous & Auto-remediation)
배포 이후에도 SBOM을 지속적으로 스캔하고, 신규 CVE가 발견되면 AI Agent가 자동으로 패치 PR을 생성하는 단계입니다. Dependabot · Renovate와 연동해 중앙 집중식으로 공급망 보안(ISO/IEC 18974) 준수를 유지합니다. 정책 준수에 들어가는 인간의 개입이 최소화되고, AI가 유발한 위험을 AI와 자동화로 통제하는 선순환 구조가 완성됩니다.
우리 팀은 어디서 시작해야 할까?
혼자 개발하거나 소규모 실험 중이라면 2단계부터 시작하는 것을 권장합니다. 별도 비용 없이 10분 이내에 설정을 완료할 수 있습니다.
팀이 이미 GitHub Actions를 사용하고 있다면 3단계 Quick CI/CD부터 도전해 보세요. 30분이면 기본 보안 게이트를 구성할 수 있습니다.
이미 3단계를 운영 중이고 전담 보안팀이 있다면 4단계와 DevSecOps 가이드 전체를 검토해 조직 전체의 공급망 보안 수준을 높이세요.