보안 검수, 이제 AWS Security Agent로 자동화 하자!

서비스 런칭을 경험한 개발자라면 보안팀과의 협업에서 어려움을 겪어본 적이 있을 것입니다. 개발팀과 보안팀은 각자 다른 우선순위와 관점을 가지고 있고, 이로 인해 마찰이 생기는 것은 자연스러운 일입니다.

개발자들이 서비스를 만드는 프로세스는 대체로 비슷합니다. 프로젝트 기획 단계에서 요구 사항 명세서를 작성하고, 데이터 모델링을 하고, 코딩 컨벤션을 정하고, API 명세서를 작성합니다. 이후 실제 개발에 들어가 애플리케이션 코드를 작성하고, 인프라를 코드로 관리하며, 테스트와 배포 자동화를 적용합니다.

 

그리고 개발이 어느 정도 완료된 시점에 보안팀과 협의하여 보안 검수를 진행합니다. 보안 요구사항 반영 여부를 확인하고, 네트워크와 인프라 규칙을 검토하고, 보안 테스트 시나리오를 실행하고, 보안 정책을 점검합니다.

문제는 보안 검수가 가장 마지막에 온다는 점입니다. 모든 개발이 끝나고 나서야 보안 검수를 하게 되었을 때, 큰 문제가 발견되면 다시 돌아가서 수정해야 하고 일정은 지연되기 일쑤입니다. 그에 비례해서 스트레스는 증가하게 되죠.

보안팀의 관점에서도 생각해봐야 합니다. 예를 들어, Kubernetes 기반 서비스를 처음 접하는 보안팀이 있다고 해봅시다. 기존에는 전통적인 VM 기반 인프라를 다루다가, 갑자기 AWS 환경에서 마이크로서비스 구조를 검토해야 하는 상황은 보안팀에게도 큰 도전입니다.

 

더 큰 문제는 기존 보안 정책을 그대로 적용하기 어렵다는 점입니다. 한 가지 예로, 온프레미스 환경의 전통적인 3-Tier 아키텍처에서는 서버 IP를 사전에 모두 파악해서 문서화하는 것이 일반적인 보안 요구사항이었습니다. 하지만 오토스케일링이 설정된 클라우드 환경에서는 서버가 동적으로 생성되고 삭제되기 때문에, 매번 IP를 일일이 매핑하는 것이 현실적으로 불가능합니다.

이런 상황에서 보안팀도 답답하고, 개발팀도 답답합니다. 서로 다른 언어로 대화하는 것처럼 느껴지죠.

 

보안 검수 통과를 위해 필요했던 것들

보안 검수를 통과하기 위해서는 생각보다 많은 것들이 필요합니다. 제가 겪었던 경험을 기반으로 살펴보면 아래와 같은 것들이 있었습니다.기술 이해도 공유: Kubernetes 같은 새로운 기술에 대해 보안팀의 이해도를 높이는 과정이 필요합니다.

• 문서 재작성: 개발 과정에서 작성한 문서는 개발 업무를 위한 것이었기 때문에, 보안팀이 요구하는 보안 요건이 반영되지 않은 경우가 많습니다. 보안팀의 관점에서 다시 문서를 수정하는 단계가 필요합니다.
• 광범위한 기술 스택 파악: 수십 개의 마이크로서비스가 존재하고, 각각의 서비스마다 오픈소스와 AWS 서비스를 사용하는 환경은 전통적인 3-Tier 아키텍처와 비교하면 보안팀이 알아야 할 것이 너무 많습니다.
• 테스트 시나리오 작성: 마이크로서비스 구성의 보안 안정성 검증을 위한 테스트 시나리오를 작성하고 테스트를 진행해야 합니다.
• 빈번한 정책 수정: 변경이 있을 때마다 보안 정책을 다시 수정해야 합니다.

이 모든 과정이 반복되면서 프로젝트 일정은 계속 늘어납니다. 실제로 보안 검수에 거의 1년이라는 시간이 소요됐었습니다. 보안팀은 하나의 팀만 담당하는 것이 아니라 여러 팀의 프로젝트를 동시에 검토해야 하기 때문에, 컨텍스트가 섞이면서 이미 합의했던 내용을 다시 논의하게 되고, 업무 처리가 점점 늦어지면서 서로 예민해지는 악순환이 발생합니다.

초기부터 보안을 함께 챙기면 좋다는 것은 누구나 알지만, 서로가 너무 바쁘기 때문에 현실적으로 어려운 것이 사실입니다. 모두가 AI를 사용하는 지금과 같은 시대에는 상황이 다릅니다. AI Agent에게 보안 검수를 맡겨보면 어떨까요? 전부는 아니더라도 AI Agent가 상당 부분의 보안 검증을 대신 수행할 수 있습니다. 이것이 가능해진 이유는 AI 기술이 단순한 도구에서 자율적인 에이전트로 진화했기 때문입니다.

AI로 인한 시대의 변화

AI가 소프트웨어 개발을 변화시키는 과정을 돌아보면, 뚜렷한 진화의 흐름이 보입니다.

시기	단계	특징
~2023	자동완성	규칙 기반 코드 자동완성
2024	어시스턴트	AI가 코드를 작성해주기 시작. 주석으로 원하는 것을 입력하면 코드를 구현
2025	에이전트	채팅으로 원하는 것을 입력하면 프로젝트 전반을 이해하며 동료처럼 코드를 구현
2026~	자율 에이전트	멀티 에이전트를 활용하여 사람의 개입을 최소화하고 End-to-End로 개발 수행

 

2025년 AWS re:Invent 키노트에서 Matt Garman CEO는 코드 어시스턴트의 실제 효과를 보여주는 사례를 소개했습니다. Kiro를 활용한 한 팀에서 원래 30명의 개발자가 18개월 동안 작업해야 할 것으로 예상했던 프로젝트를, 6명의 개발자가 76일 만에 완료한 것입니다.

출저: AWS re:Invent 2025 Matt garmen keynote

 

여기서 주목할 점은 에이전트를 도입한다고 해서 즉시 효과가 나타나는 것은 아니라는 것입니다. 처음 몇 주간은 시행착오의 연속이었지만, AI와 효과적으로 협업하는 방법을 깨닫는 "아하 모먼트(Aha Moment)"가 찾아오면서 개발 속도가 급격히 향상되었다고 합니다.

이 과정에서 도출된 교훈들을 정리하면 다음과 같습니다.

• 목표 지향적 업무 전환: 개별 작업을 하나하나 지시하는 것보다 목표를 설정하고 자율적으로 동작하도록 할 때 생산성이 향상됩니다.
• 병렬 실행: 하나의 에이전트에게 질문하고 기다리는 것보다, 동시에 다수의 에이전트에게 일을 시키는 것이 효과적입니다. 마치 팀에 인원을 추가해서 여러 개발자가 함께 일하는 것과 같습니다.
• 장시간 실행: 에이전트는 지치지 않으므로 24시간 내내 일할 수 있습니다. 퇴근 후에도 에이전트가 작업을 계속해서 다음 날 출근할 때 Pull Request를 날리도록 만들 수 있습니다.

이 교훈들을 종합하여 AWS는 새로운 유형의 에이전트인 Frontier Agent를 소개했습니다. Frontier Agent는 마치 팀원처럼 일하는 자율형 AI 에이전트를 의미합니다. 목표를 주면 자율적으로 행동하고, 멀티 에이전트로 확장되며, 백그라운드에서 장기간 실행될 수 있습니다.

새로운 서비스를 출시하려면 소프트웨어를 구현하고, 테스트를 진행하고, 잠재적 위협을 점검하고, 배포 자동화와 모니터링, 장애 대응까지 필요합니다. 이를 위해 AWS가 런칭한 세 가지 Frontier Agent가 바로 Kiro Autonomous Agent(개발), AWS Security Agent(보안), AWS DevOps Agent(운영)입니다.

 

왜 보안 자동화가 절실한가

GitHub Octoverse 2025 리포트에 따르면, 2025년에 커밋 수가 25.1% 증가하여 약 9.86억 건에 달했지만, 커밋에 대한 댓글 수는 27% 급감했습니다. 코드는 엄청나게 빠르게 생산되고 있지만, 그 코드를 리뷰하고 검증하는 인력은 그대로라는 뜻입니다. 이 지표는 Public Repository에 해당하기 때문에 측정할 수 없었던 Private Repository까지 합친다면 그 비율은 더 커지겠죠.

 

보안 리뷰도 마찬가지입니다. 코드가 빠르게 생성될수록 보안 취약점이 코드에 포함될 가능성도 증가하지만, 보안팀의 규모는 그대로입니다. 이 격차를 메울 수 있는 방법이 바로 AI Agent를 통한 자동화입니다.

 

AWS Security Agent란?

AWS Security Agent는 소프트웨어 개발 라이프 사이클 안에서 프론티어 에이전트를 활용하여 보안으로 자동으로 점검해볼 수 있는 서비스 입니다. 즉, 보안 전문 지식을 가진 AI 에이전트가 사람을 대신해서 개발에 필요한 문서들과 코드를 분석하여 취약점과 개선점을 도출하고, 침투 테스트를 통해 실행 중인 서비스에 동적 테스트를 수행하여 안정성을 높입니다.

 

2025년 12월 AWS re:Invent에서 Preview로 발표되었고, 2026년 3월 31일에 정식 출시(GA)되었습니다. US East(N. Virginia), US West(Oregon), Europe(Ireland, Frankfurt), Asia Pacific(Sydney, Tokyo) 리전에서 사용 가능합니다.

핵심 역할은 다음과 같습니다:

• 설계 문서 기반 사전 검토 (Design Review)
• 코드 취약점 스캔 (Code Review)
• 온디맨드 침투 테스트 (Penetration Testing)

침투 테스트는 공수가 많이 들어가기 때문에 비용이 많이 들어가고, 시간도 오래 소요됩니다. 하지만 Security Agent는 AI를 활용해서 외부 보안 컨설턴트를 고용하거나 일정을 조율할 필요 없이, 필요할 때 즉시 보안 검증을 실행할 수 있습니다. 참고로 CVE Bench v2.0에서 92.5%의 공격 성공률을 달성하여 그 성능이 검증되었습니다.

 

AWS Security Agent는 어떤 기준으로 보안 취약점을 점검할까요?

• 관리형 보안 정책: 처음부터 보안 정책을 직접 만들어야 한다면 막막할 수 있습니다. 그래서 OWASP Top 10 등 기본적으로 제공되는 관리형 보안 요구사항이 존재합니다. 예를 들어, 감사 로깅에 대한 모범 사례를 활성화하면 "사고 조사를 위한 시스템 변경 사항이나 접근 시도 같은 로그를 생성해야 한다"는 기준으로 취약점을 점검합니다.
• 사용자 정의 보안 정책: 모든 회사는 고유한 보안 정책과 규정을 가지고 있습니다. 금융회사, 헬스케어, 스타트업 모두 다른 요구사항이 있죠. AWS Security Agent는 이러한 회사별 정책을 반영할 수 있습니다. 정책에 대한 설명과 기준을 작성하면 AI Agent가 해당 내용의 준수 여부를 평가합니다.
• 중앙 집중 관리: 보안팀이 중앙에서 보안 정책을 관리하고, IAM Identity Center를 사용해 개발팀에 필요한 권한을 부여할 수 있습니다. 정책을 관리하는 팀과 실제 테스트를 진행하는 팀을 분리하여 운영할 수 있습니다.

 

핵심 기능 1: 자동화된 설계 검토 (Design Review)

앞서 이야기했던 문제의 핵심은 설계 단계에서 보안을 고려하지 않아 나중에 대규모 재작업이 필요하다는 것이었습니다.

Design Review 기능은 이 문제를 정면으로 해결합니다. 워드 파일, 마크다운 파일, 텍스트 파일 등의 설계 문서를 업로드하기만 하면 AI Agent가 보안 관점에서 평가하고 개선 사항에 대한 지침을 가이드해줍니다.

 

설계 단계에서 보안 취약점을 발견하면 수정을 최소화할 수 있을 뿐만 아니라 보안 리스크와 이로 인한 손실을 크게 줄일 수 있습니다.

OWASP Top 10 기반의 관리형 보안 정책으로 검토를 수행하면 다음과 같은 결과를 확인할 수 있습니다:

• 규정 준수: 문서에 회원가입과 로그인에 필요한 인증 절차가 명시되어 있으면 해당 항목은 준수 상태로 표시됩니다.
• 규정 미준수: 로그에 대한 언급은 있지만 민감한 작업에 대한 감사 로그 언급이 없으면 미준수 상태로 표시됩니다.
• 데이터 부족: AI Agent가 보안 준수 상태를 판단하기 어려운 경우, 데이터가 부족하다는 현황과 보완 방법을 가이드합니다.

 

핵심 기능 2: 실시간 코드 검토 (Code Review)

AWS Security Agent는 GitHub Repository와 네이티브로 연동됩니다. GitHub Apps 기능을 활용하여 Repository에 Pull Request가 생성되면 자동으로 트리거되어 변경된 코드에 대한 보안 리뷰를 수행합니다.

개발자가 별도로 요청할 필요 없이 즉시 보안 평가가 실행되므로 누락될 일이 없습니다. Design Review와 동일한 보안 정책을 기반으로 하기 때문에 설계부터 코드 구현까지 일관성을 유지할 수 있습니다. 이렇게 하면 소프트웨어 개발 라이프사이클에 보안을 항상 점검해볼 수가 있겠죠.

 

이와 유사한 개념이 DevSecOps입니다. 하지만 기존의 DevSecOps는 여러 도구를 사용하고, 변경에 따른 스크립트나 설정을 변경해야 했기 때문에 사람이 직접 개입해야 하는 경우가 빈번했습니다. 반면 Security Agent는 AI Agent가 애플리케이션의 컨텍스트를 이해하고 있기 때문에, 변경을 최소화하면서 보안 정책을 최신 상태로 유지할 수 있습니다.

실제 동작 과정을 살펴보면 아래와 같습니다.

• 개발자가 PR을 생성하면 곧바로 Security Agent가 트리거되어 몇 초 만에 "검토 중"이라는 코멘트가 생성됩니다.
• 코드 량에 따라 달라지지만, 몇 분 정도면 사전에 정의한 보안 정책 기준으로 보완이 필요한 취약점을 도출합니다.

예를 들어, 수량을 제어하는 코드가 클라이언트 사이드에만 존재하는 경우를 탐지하여, 패킷 조작을 통해 데이터베이스에 잘못된 값이 반영될 수 있는 위험성에 대한 경고 메시지를 남깁니다. 클라이언트-서버 구조의 애플리케이션 개발 시 흔히 발생하는 실수를 정확히 짚어내는 것입니다.

 

발견된 보안 취약점은 Claude Code나 Kiro와 같은 AI 코드 어시스턴트 도구들을 사용하면 손쉽게 조치할 수 있습니다. 로컬 환경에 이미 GitHub Repository 접근 권한이 있으므로, Kiro에게 최근 생성된 Pull Request 정보를 조사하도록 지시하면 보안 취약점과 조치사항까지 인지하게 됩니다. 이후 Kiro가 코드를 수정하고, Pull Request를 생성합니다.

 

핵심 기능 3: 침투 테스트 (Penetration Testing)

AWS Security Agent의 침투 테스트 기능에서 가장 큰 강점은 컨텍스트를 이해하고 있다는 점입니다.

기존의 보안 테스트 도구들은 개별적으로 테스트를 수행했고 규칙 기반이었기 때문에 서로 간에 컨텍스트를 공유할 수 없었습니다. 테스트 시나리오를 작성하고 규칙을 구현하기 위해 많은 시간과 인력이 필요했기 때문에 비용이 컸고, 자주 수행하지 못하고 주기적으로 한번씩 수행하는 것이 일반적이었습니다.

반면 Security Agent는 AI 기반으로 동작하기 때문에 언제든 수행할 수 있고, 사내 보유 문서와 애플리케이션 코드 등의 컨텍스트 정보를 기반으로 맞춤형 공격 시나리오를 계획하고 침투 테스트를 실행합니다.

 

출저: AI 생성

 

 

Security Agent의 침투 테스트는 여러 전문화된 에이전트들이 협력하는 멀티 에이전트 시스템으로 구성되어 있습니다.

• Planning Agent: 보유한 컨텍스트 정보를 기반으로 맞춤형 공격 시나리오를 작성합니다. 애플리케이션을 분석하고, 어떤 공격을 시도할지 계획하고, 우선순위를 정합니다. 침투 테스트 팀의 리더처럼 작동합니다.
• Pentester: 각 리스크 유형(XSS, IDOR, 권한 상승, 인증 우회 등) 별로 전문화된 워커 에이전트들이 실제 공격을 수행합니다.
• Validation Agent: 도출된 취약점을 분석하여 진짜 취약점인지 확인합니다. 일반적인 침투 테스트에서 오탐(False Positive)으로 인한 공수가 상당한데, 이 부분을 최소화해주는 역할을 합니다.
• Remediation Agent: 발견된 취약점에 대해 실제로 코드를 수정하고 Pull Request를 생성하여 개발팀의 조치 부담을 최소화합니다.

 

침투 프로세스는 아래와 같습니다.

1. Pre-flight (사전 설정): 펜테스트 대상 도메인에 대한 설정을 수집합니다. API 엔드포인트, 로그인 정보(필요 시), 관련 문서, 코드 레파지토리 등을 설정합니다. 제공된 도메인에서 파생되는 서브 path들을 파악하기 위해 해당 도메인을 크롤링하고 사이트맵을 생성합니다. API 명세서나 path 정보를 컨텍스트로 제공하면 이 과정을 간소화할 수 있습니다.
2. Planning & Execution: Planning Agent가 테스트 시나리오를 계획하고, Pentester들이 실제 공격을 실행합니다.
3. Validation & Remediation: Validator가 결과를 검증한 후, 명확한 취약점으로 판별된 경우 Remediation Agent가 코드 수정과 Pull Request 생성까지 수행합니다.

 

AI Agent가 무엇을 실행했는지 신뢰할 수 있을까 우려될 수 있는데, Security Agent는 동작 과정을 투명하게 공개합니다. 침투 테스트 기록 탭에서는 로그인 시도부터 어떤 테스트 시나리오로 어떤 명령을 실행했는지 하나하나 확인할 수 있습니다.

 

 

테스트 결과는 심각도에 따라 순서대로 나열되며, 각 취약점에 대한 설명과 조치사항, 재현 스텝까지 제공됩니다. 예를 들어, JSON 형식의 body만 사용하는 API 서비스에서 XML도 수신하고 있는 경우를 탐지합니다. XML 수신 시 500 에러가 발생하면서 스택 트레이스를 반환하는 문제를 발견하면, XML 파싱으로 인한 DoS 공격 가능성, 불필요한 정보 노출, 리 소스 고갈 문제까지 도출해냅니다. 재현 과정도 확인할 수 있어서 문제를 해결한 후 개발자 가 직접 검증해볼 수 있습니다.

 

 

침투 테스트 결과는 보고서로 Export할 수도 있습니다. 전반적인 보안 취약점에 대해 상세히 기록되어 있어 사내 보고용으로 적합합니다.

 

기능을 전반적으로 살펴보았으니 이제 가격이 궁금해질 타이밍이죠. AWS Security Agent의 침투 테스트 비용은 시간당 $50으로, 초 단위로 과금됩니다. 선불 비용이나 최소 요금이 없는 종량제 방식입니다.

 

이는 수동 침투 테스트 대비 70~90%의 비용 절감이 가능하고, 신규 고객에게는 2개월간 월 200 task-hour까지 무료 체험이 제공되니 무료 범위 내에서 사용해보고 효과를 검증해 본 후에 도입을 검토해볼 수 있습니다.

이미 여러 기업에서 AWS Security Agent를 도입하여 효과를 보고 있고, 국내 기업 중에는 LG CNS에서 사례를 공유해 주기도 했습니다. 

 

회사명	내용
HENNGE K.K.	테스트 소요 시간 90% 이상 단축, 수동 테스트를 초과하는 인사이트 발견
Scout24 SE	다른 접근법으로는 발견하지 못한 공개적으로 악용 가능한 치명적 이슈 식별
SmugMug	평가 완료 기간이 몇 주에서 며칠로 단축
LG CNS	테스트 주기 약 50% 단축, 비용 약 30% 절감, 오탐 감소
Classmethod	보안 개선 사이클이 수개월에서 수일로 단축

 

마치며

개발자와 보안팀 사이에서 서로의 우선순위가 다르고, 기술 스택에 대한 이해도가 다르며, 시간적 제약 속에서 보안 검수는 병목이 되어오곤 했습니다. AWS Security Agent는 이 간극을 프론티어 에이전트를 통해 극복하여 설계 단계에서의 사전 검토, 코드 리뷰 시 자동 보안 분석, 그리고 온디맨드 침투 테스트까지 개발 라이프사이클 전반에 걸쳐 보안을 자동화 할 수 있습니다. 

 

물론, AI Agent가 보안팀을 완전히 대체하는 것은 아닙니다. 하지만 보안팀의 부담을 크게 줄이고, 개발팀이 초기부터 보안을 고려할 수 있는 환경을 만들어줍니다. 보안 검수에 1년이 걸리던 시대는 이제 과거가 될 수 있습니다. 초기부터 보안을 함께 챙기면 좋다는 것은 누구나 알지만 현실적으로 어려웠던 그 문제를 이제는 프론티어 에이전트로 많은 부분 해소할 수 있습니다. 

 

자세한 내용은 아래 Youtube 영상으로도 보실 수 있습니다. (이미지 클릭)

https://youtu.be/DWgecQ4RZew