더 읽어보세요
Semgrep, Claude in Amazon Bedrock으로 AI 기반 코드 보안 제공 방법
산업:
사이버 보안
기업 규모:
중소기업
제품:
Claude Platform
위치:
북아메리카
20% 감소
오탐지 보안 알림 감소
92% 사용자 동의율
조치 불필요 항목 라벨링 동의율
Video caption
Video caption
사이버 보안 분야의 선도적인 기업인 Semgrep는 Claude in Amazon Bedrock에서 을 Claude를 사용하여 고객사를 위한 많은 AI 지원 기능을 제공해 드립니다. 이로써 개발자가 코드 취약점을 더욱 효과적으로 감지하여 필터링 및 수정할 수 있도록 도움을 주는 것입니다. 이를 통해 엔지니어링 작업 시간을 할애하는 오탐지를 최소화하는 것입니다.
Claude를 사용하여 Semgrep가 거둔 성과는 아래와 같습니다.
- 보안 탐지 결과 20% 조치 불필요한 항목으로 라벨링, 92% 사용자 동의율과 96% 보안 연구원 동의율 달성
- 이전 버전인 GPT-4o 대비 오탐지 식별에서 16% 더 높은 정확도 달성
- 컴포넌트 태그 지정에서 17% 더 나은 성능 제공(이전 모델 GPT-4o 대비)
- 매일 고객사를 위해 수천 건의 보안 취약점을 처리 및 분석
보안 오탐지 문제를 Semgrep가 해결하는 방법
소프트웨어 개발 팀은 압도적인 양으로 쏟아지는 보안 알림 상황에 직면하면서, 이 중 많은 알림은 귀중한 시간과 리소스를 할애하는 오탐지입니다. "Semgrep의 스태프 엔지니어인 Bence Nagy는 "보안 도구가 대량의 알림을 생성하는 것은 악명이 높습니다. 이것은 업계 전반에 걸친 광범위한 문제입니다."라고 말했습니다.
Semgrep은 이 문제점을 알게 되었고 AI를 적용하여 알림 노이즈를 획기적으로 줄일 기회를 포착했습니다.
Semgrep의 빠르고 결정론적인 코드 분석 엔진과 LLM 직관적인 규칙 구문은 AI 기반 AppSec을 위한 완벽한 발판이 되어 주었으며, 정밀한 패턴 매칭의 이점을 유지하면서 AI의 코드 컨텍스트 이해 능력을 활용 가능하도록 만들어 주었던 것입니다.
Nagy는 실무 사례를 들면서 첫 번째 돌파구를 설명했습니다. "AI 모델이 코드에서 실제 유출된 비밀번호와 'password=REPLACE_PASSWORD_HERE'같은 무해한 가상 데이터를 구분할 수 있는지 테스트했습니다."
일반적인 보안 도구는 두 가지 사례 모두를 취약점으로 무분별하게 플래그하지만, AI는 어떤 알림이 실제 보안 위험 상황을 나타내는 것이고 어떤 것이 오탐지인지 정확하게 판단할 수 있다는 것을 발견했습니다. 초기에 거둔 성공적인 성과는 AI가 보안 점검 행위에 대한 근본적인 문제점, 즉 실제 위험 상황과 노이즈를 구별하는 문제를 해결할 수 있다는 것을 입증했던 것입니다. 이를 통해 Semgrep이 AI가 전체 보안 플랫폼을 어떤 방법으로 탈바꿈하고 팀이 실질적인 보안 문제에만 주력할 수 있도록 했습니다.
모든 작업에 최적화 모델 선택하기
Semgrep의 AI 성능은 프로젝트별 입력(의존성, 이전 수정 내용, 데이터 흐름 추적)과 Semgrep의 비AI 분석 입력을 참조하는 다양한 프롬프트 체인과 평가 루프에 의존합니다.
Semgrep는 이러한 프롬프트 체인에서 다양한 모델 어떤 성능을 가지고 작동하고 있는지 비교를 진행하기 위해 오탐지 필터링부터 정확한 보안 수정 안내를 생성하는 작업에 이르기까지 다양한 보안 작업에서 항상 최적화된 LLM을 사용할 수 있도록 엄격한 평가 프로세스에 의존합니다.
"당사의 목표는 개발자가 핵심적인 보안 문제만 살펴보도록 하는 것입니다. 실제 데이터를 기준으로 모델을 벤치마크합니다. 또한 1,000개 이상의 고객사에 걸쳐 성능을 지속적으로 모니터링하며, 그 성능 결과에 따라서 당사 보안 운영의 나침반이 되어 주는 것입니다."라고 Semgrep의 스태프 엔지니어인 Bence Nagy는 말했습니다.
Claude는 Semgrep의 고유한 작업별 평가 모든 분야에서 최상위 성능 모델(상위 3위)이라는 점에서 두각을 나타냈습니다.
"Claude 3.7 Sonnet은 심층적인 컨텍스트 이해와 함께 탁월한 코드 분석 능력을 보여주었습니다."라고 Nagy는 말했습니다. "자동 생성된 파일의 취약점을 인식하고, 출력 파일을 직접적으로 편집 작업하는 대신에 생성 소스를 수정 작업하도록 개발자에게 조언한 유일한 모델이었습니다."
가장 중요한 두 가지 평가인 오탐지 식별과 컴포넌트 태그 지정에서 Claude는 이전 최상위 성능 모델인 GPT-4o를 각각 16%와 17%에 달하는 압도적인 수치로 성능을 보여주었습니다.
"애플리케이션 레이어에서 운영하는 모델 벤치마킹 및 선택하는 일은 더 이상 고객사에서 고민하시지 않아도 되는 일이며 당사에게 전적으로 믿고 맡겨주시면 됩니다. 특정 모델의 사용을 요청하실 수 있습니다만, 고객사에서는 일반적으로 작업별로 당사가 최적화하고 선택한 것을 신뢰하십니다."라고 Semgrep의 제품 마케팅 매니저인 Chushi Li는 말했습니다.
Claude, Semgrep의 보안 능력 강화하다
Semgrep는 보안 팀이 노이즈를 줄이고, 일상적인 작업을 자동화하며, 수정 작업을 생성하는 것에 도움을 드리는 성능을 제공해 드리기 Claude를 포함한 여러 가지의 대형 언어 모델을 사용하는 것입니다.
- 노이즈 필터링: 보안 알림을 분석하여 실제 문제와 오탐지를 분리합니다. 이로써 기본적으로 알림 발생량을 20% 줄이고 시간이 경과함에 따라 최대 40%까지 알림 발생량은 감소합니다.
- 메모리: 사용자가 탐지 결과를 분류하고 탐지된 결과를 수정 작업할 때 환경에 대한 중요한 보안 관련 컨텍스트를 학습하고 저장하여 미래에 발생할 수 있는 오탐지를 제거합니다.
- 자동 수정 제안+ 수정 가이드: 취약점 수정 작업을 위한 원클릭 코드 수정을 제안합니다. 이로써 개발자가 변경 사항 작업을 이해하고 자신감을 가지고 병합할 수 있는 컨텍스트를 제공합니다.
- 브레이킹 체인지 분석: 의존성 업그레이드의 브레이킹 체인지를 분석합니다. 이로써 버전 업데이트가 안전한 상태인지 또는 리팩터링 작업이 필요한 상태인지지 개발자에게 알려주는 업그레이드 PR을 자동적으로 생성합니다.
- 파일 민감도 분류: 파일의 중요도를 평가하여, 인증이나 결제와 같은 고위험 컴포넌트의 문제를 저위험 컴포넌트보다 우선시합니다.
- 규칙 작성: 자연어 지시를 바탕으로 결정론적 Semgrep 규칙을 작성합니다.
거부감 없이 개발자가 사용 가능한 보안 도구 중 하나
Semgrep의 AI 기반 기능은 보안 및 개발 팀의 생산성을 비약적으로 향상시켰으며, 노이즈 감소 성능을 뛰어넘는 성능을 발휘합니다. Claude의 컨텍스트 이해는 개발자가 더 포괄적인 수정 작업을 구현하는 데도 도움을 드리는 것입니다. "Claude는 수정 작업을 처리한 후에 개발자가 확인해야 할 사항과 프로젝트의 다른 부분을 어떤 방법으로 조정하여 다뤄야 하는지에 대한 추가적인 자세한 정보를 제공해 드립니다."라고 Nagy는 말했습니다. 이 접근 방식은 취약점 수정 작업이 기존에 사용하던 기능을 손상시키는 일반적인 문제점을 방지하는것입니다.
Semgrep의 벤치마킹 접근 방식은 각 보안 작업에 대해 최적화된 AI 성능을 보장해 드립니다. Nagy는 "노이즈 필터링 성능을 위해 정확도를 정밀하게 측정하기 위한 수천 건의 사전 분류된 보안 발견을 포함하는 평가 스위트를 구현했습니다."라고 설명했습니다.
이 테스트는 모델 구성에 대한 중요한 인사이트를 도출해 냈으며, 직관에 반하는 발견도 포함됩니다. "당사는 Claude에게 '사고'를 위한 과도한 토큰 할당은 실제로는 오히려 발생되는 보안 문제에 대해 지나치게 보안 평가가 보수적인 흐름으로 변한다는 것을 확인했습니다." 이러한 인사이트를 통해 Semgrep는 보안 작업에 맞게 Claude의 매개변수를 미세 조정하여 실제 운영에서의 효과를 극대화하는 것입니다.
Claude in Amazon Bedrock: 엔터프라이즈 보안, 프라이버시 및 성능
Semgrep는 엄격한 데이터 거버넌스 요구 사항을 갖춘 업계의 고객사와 자주 협력합니다. Amazon Bedrock은 조직의 Amazon Virtual Private Cloud(VPC)와 같은 프라이빗 환경 내에서 Claude와 같은 강력한 파운데이션 모델에 안전하게 접근할 수 있는 방법을 제공해 드립니다.
"보안과 프라이버시는 당사와 고객사에게 반드시 지켜야 하는 원칙인 것입니다."라고 Semgrep 공동 창업자인 Drew Dennison은 말했습니다. "Amazon Bedrock을 사용하여 안전하고 규정을 준수하는 환경에서 Claude에 접근할 수 있다는 것은 성능 저하 없이 필요한 유연성을 제공해 드립니다."
이러한 가용성은 Claude를 기술적 우수성뿐만 아니라 실제 엔터프라이즈 환경에 얼마나 원활하게 적합하는지에서도 매력적인 선택으로 만듭니다.
MCP와 AI 기반이 실현하게 될 미래
Semgrep는 AI가 소프트웨어를 생성하고 보안 업무를 동시에 담당하는 미래를 구상하고 있습니다. "소프트웨어 개발이 더 접근 가능해지는 상황임에 따라, 숙련되지 않은 엔지니어가 더 많은 AI 작성 코드를 생성하게 될 것입니다. 그 코드를 어떤 방법으로 안전하게 유지하게 되는 걸까요?"라고 Dennison에게 물었습니다. "당사에서는 AI의 생성 과정에 직접적으로 자체 내장된 보안 도구와 사고 과정의 체인에서 코드를 감사하는 검증 시스템이 필요한 것입니다."
이 비전은 Semgrep이 오픈소스 모델 컨텍스트 프로토콜(MCP) 도구를 개발하게 해준 것입니다. 이를 통해 Claude와 같은 AI 어시스턴트가 생성한 코드를 전달하기 전에 취약점을 진단할 수 있게 되었습니다. Semgrep의 핵심 SAST 엔진은 고성능이고 검증 가능하며 출처가 명확한 상태이기 때문에 MCP 서버를 사용하는 LLM이 도구 성능 기능을 통해서 Semgrep을 동적으로 호출할 수 있습니다. Nagy는 "당사는 AI로 전체 프로젝트를 구축하고도 안전하고 기능적이라는 신뢰를 가질 수 있는 세상을 실현시키는 것을 꿈꿉니다."라고 말했습니다.
입당사는 또한 컨텍스트 기반 보안을 강화하기 위해 조직 메모리 기능을 개발하고 있습니다. "당사는 개발자 주석과 판단을 학습하여 코드베이스의 심층적인 수준의 컨텍스트를 파악하는 시스템을 구축하고 있습니다."라고 Nagy는 설명했습니다. 이러한 조직 고유의 보유한 지식을 파악함으로써 보안 평가는 시간이 흐를수록 더욱 지능적으로 거듭나는 것입니다.
이러한 혁신으로 Semgrep는 AI가 보안을 유지하면서 개발을 가속화하여 소프트 산업 전반에 속도와 안전성을 동시에 제공해 드리는 것을 목표로 삼고 있습니다.
Video caption