LLM으로 소스 코드 보안 자동화: 취약점 발견부터 패치까지!

부정확한 위협 모델(Threat Model)은 오탐(False Positive)의 주요 원인이며, 시스템의 컨텍스트(Context), 자산(Assets), 진입점(Entry Points), 신뢰 경계(Trust Boundaries)를 명확히 정의해야 함

잘 정의된 위협 모델(Threat Model)을 통해 모델의 정확도를 90%까지 향상시킬 수 있으며, 개발팀은 THREAT_MODEL.md 파일을 통해 위협 모델을 관리하고 코드 변경에 따라 업데이트해야 함

Shostack의 4가지 질문 (What are we building? What can go wrong? What are we doing about it? Did we do a good job?)을 활용하여 위협 모델을 구축하고, 의존성(Dependencies)의 보안 정책을 고려해야 한다.

강력한 격리(Isolation)를 위해 컨테이너(Container), 마이크로VM(MicroVM) 또는 VM(Virtual Machine)을 사용하고, 에이전트에게 네트워크 접근 권한(Network Access)을 최소화해야 함

샌드박스(Sandbox) 환경에서 종속성(Dependencies) 설치, 빌드(Build), 테스트(Test)를 수행하고, 스캔 시에는 모델 API(Model API)를 통해서만 통신하도록 설정

익스플로잇(Exploit) 검증을 위해 PoC(Proof of Concept)를 실행하고, 샌드박스(Sandbox) 내에서 PoC 실행이 가능하다면 취약점(Vulnerability)의 실제 존재 여부를 확인할 수 있다.

위협 모델(Threat Model), 아키텍처 문서(Architecture Docs), 과거 스캔 결과(Past Scans) 등, 에이전트(Agent)가 필요에 따라 접근할 수 있는 컨텍스트(Context)를 제공하여 시스템 특정적인 취약점(System-Specific Vulnerabilities)을 식별

구체적인 취약점 클래스(Vulnerability Class)를 명시하고, 구조화된 보고서(Structured Report)를 요청하여 모델의 효율성을 높임

grep, glob 등의 도구를 제공하고, 필요한 경우 자체 도구(Tools)를 생성하도록 하여 코드베이스(Codebase) 탐색 능력을 향상시키고, 병렬 에이전트(Parallel Agents)를 활용하여 검색 공간(Search Space) 분할

독립적인 검증 에이전트(Verification Agent)를 통해 발견 에이전트(Discovery Agent)의 결과를 검증하고, PoC(Proof of Concept)를 실행하여 취약점(Vulnerability)의 실제 존재 여부를 확인

트리age(Triage) 단계에서는 중복 제거(Deduplication), 심각도 평가(Severity Assessment), 우선순위 지정(Prioritization)을 수행하여 개발팀의 효율적인 대응을 지원

위협 모델(Threat Model)을 활용하여 심각도를 정확하게 평가하고, Reachability, Attacker control, Preconditions, Authentication, Read vs. write, Blast radius 등의 요소를 고려하여 우선순위를 결정

패치(Patch) 적용 전에 테스트(Test)를 추가하고, 패치(Patch) 적용 후 테스트(Test)가 통과하는지 확인하여 회귀(Regression) 방지

패치(Patch)의 범위(Scope)를 최소화하고, root cause를 해결하는 데 집중하여 안정적인 패치(Patch) 적용을 유도

Build, Try to reproduce, Check for regressions, Re-attack 단계를 통해 패치(Patch)의 유효성을 검증하고, 지속적인 보안 수준 향상을 목표

지속적인 코드 스캔(Code Scan) 및 위협 모델(Threat Model) 업데이트를 통해 보안 프로세스(Security Process)를 개선하고, 공격자보다 먼저 취약점을 해결