구글이 앤트로피크의 미스토스와 경쟁하려 한다

구글이 지난해 10월 처음 공개했던 코드 보안 AI 에이전트 'CodeMender'의 API를 외부 전문가 그룹에게 테스트용으로 개방하기 시작했다. CodeMender는 단순히 취약점을 탐지하는 정적 분석 도구가 아니라, LLM 기반 에이전트가 코드베이스를 탐색하면서 보안 결함을 '발견'하고 동시에 '수정 패치'까지 제안하는 자율형 시스템이다. 내부적으로는 Gemini 모델과 퍼징(fuzzing), 심볼릭 실행, SAST 도구를 결합한 멀티 툴 에이전트 구조로 추정되며, 단일 함수 단위의 결함뿐 아니라 메모리 안전성·인증 우회·인젝션 같은 복합 취약점에 대해 컨텍스트를 추적해가며 PR 형태의 수정안을 생성하는 것이 핵심 차별점이다. 안트로픽의 Claude Mythos Preview 발표가 시장에 충격을 준 직후 구글이 빠르게 보안 도메인 카드를 꺼낸 점은, 빅테크들의 AI 경쟁축이 코드 생성에서 '코드 보안·자가 치유' 영역으로 본격 이동하고 있음을 보여준다.

엔지니어 입장에서 이 흐름은 DevSecOps 파이프라인의 구조를 근본적으로 바꿀 수 있는 신호다. 그동안 SonarQube, Snyk, CodeQL 같은 도구들은 '리포트'까지만 책임지고 수정은 개발자 몫이었다면, CodeMender류 에이전트는 취약점 검출 → 수정 코드 작성 → PR 등록까지 자동화하는 단계로 넘어간다. 특히 오픈소스 메인테이너에게는 단비 같은 도구가 될 수 있다. 구글은 이미 CodeMender가 오픈소스 프로젝트에 72건 이상의 보안 패치를 기여했다고 밝힌 바 있으며, 이런 추세가 가속되면 CVE 발급-패치 사이의 평균 시간(MTTR)이 현재의 수일~수주에서 수시간 단위로 단축될 가능성이 크다. 반대로 한국 기업 보안팀에게는 '에이전트가 제출한 PR을 어떻게 검증하고 머지할 것인가'라는 새로운 거버넌스 과제가 떠오른다. 자동 패치가 비즈니스 로직을 의도치 않게 변경하거나, 호환성을 깨뜨리는 사례를 차단할 코드 리뷰 정책이 필요해진다.

당장 한국 개발자가 취해야 할 액션은 세 가지로 정리된다. 첫째, CodeMender API 얼리 액세스 신청 채널(DeepMind 공식 폼)을 모니터링하고, 만약 사내 코드베이스 적용이 가능해진다면 격리된 샌드박스 레포부터 PoC를 돌려볼 것을 권한다. 둘째, GitHub Advanced Security, Anthropic Claude Code, Google CodeMender 등 경쟁 솔루션들의 라이선스/데이터 처리 정책을 비교해야 한다. 특히 금융권·공공처럼 코드를 외부 클라우드로 전송하기 어려운 환경에서는 'on-prem 또는 VPC 내 실행 옵션'이 있는지가 핵심 선정 기준이 될 것이다. 셋째, 자동 보안 패치가 일상화되는 시대에 대비해 CI/CD에 'AI 생성 PR'을 식별하는 라벨링 규칙과, 휴먼 리뷰어 2인 승인 같은 추가 게이트를 미리 설계해두는 것이 안전하다.

장기적으로 보면 이번 발표의 진짜 의미는 '보안이 더 이상 별도 팀의 영역이 아니라, AI 에이전트가 상시 백그라운드에서 수행하는 인프라 기능이 된다'는 점이다. 마치 린터(linter)나 포매터처럼 보안 패치 에이전트가 기본 툴체인에 내장되는 시대가 가까워지고 있으며, 이는 시니어 보안 엔지니어의 역할을 '직접 패치 작성'에서 'AI 에이전트가 만든 패치의 정책·아키텍처 적합성 검증'으로 재편할 가능성이 높다. 따라서 한국 개발자들도 단순히 도구를 도입하는 차원을 넘어, 자사 코드베이스의 보안 정책을 LLM이 이해할 수 있는 형태(예: SECURITY.md, custom rules, semgrep 룰셋)로 명문화해두는 작업을 지금부터 시작해두는 것이 경쟁력이 될 것이다.