rootscan_04_LLM을 활용한 보안 리포트

읽기 싫은 보안 리포트

공부를 하며 보안 툴(SAST) 몇 번 돌려보는데, 결과물이 보여주는 용어가 참 복잡하다.
알 수 없는 보안 전문 용어가 범벅이면, 개발자는 이걸 보고 바로 "아, 여기 고치면 되겠네" 하고 반응하기 쉽지 않을 것이다.

그래서 rootscan에 LLM(AI)을 붙여보자는 생각을 했다.
이유는 단순하다. "해석하는 시간 좀 줄이자."

asmspeak을 기획하면서 개발자에게 이런 해석 시간 절약이 얼마나 중요한지 알게 되었다.
특히 주니어 수준의 개발자라면 해석이 시간을 쏟고 낭비하는 리소스가 많을 거라고 생각했다.

AI를 통역사로 쓰자

rootscan에서 AI의 역할은 취약점을 찾아내는 탐정이 아니다.
그건 이미 정교한 분석 툴(Semgrep 같은 애들)이 잘하고 있다.
AI를 도입해서 0부터 분석을 시키려면 고민해야 할 것들이 훨씬 많아질 것이다.
이미 나온 결과를 우리가 알아듣기 쉽게 통역해주면, 충분히 효율적일 거다.

• 한글 요약: 어려운 설명을 쉬운 우리말로 바꿔준다.
• 수정 가이드: "그래서 코드를 어떻게 고치라고?"에 대한 답을 예시 코드와 함께 보여준다.
• 원인 설명: 이게 왜 위험한지 납득이 가게 설명해준다.
  결국 리포트를 읽는 시간을 줄이는 게 목표다. 더 정교하게 프롬프팅을 해야겠지.

결정은 사람이 한다

AI의 최대 단점인 헛소리(Hallucination)가 생길 수도 있다.
그래서 다음과 같이 옵션을 걸었다.

1. AI는 옵션이다: --nollm 옵션을 주면 AI 없이 담백한 원본 결과만 볼 수 있다.
2. 원본 보존: AI의 요약만 보여주는 게 아니라, 분석 툴이 뱉은 원본 로그도 그대로 보여준다.
3. 책임: AI는 조언을 할 뿐, 이 코드를 수정할지 말지는 전적으로 개발자가 판단한다.

정리

보안이 어려운 건 기술이 부족해서도 있겠지만 말이 너무 어렵기 때문일 때가 많으니까
이 장벽을 낮춰주는 걸 목표로 해보자.