00:00:00와주셔서 감사합니다.
00:00:01끝까지 자리를 지켜주셔서 감사합니다.
00:00:04제 이름은 알렉스이고, Corridor라는 작은 회사에서 일하고 있습니다.
00:00:10오늘은 바이브 코딩에 대해, 그리고 보안 관점에서 벌어지고 있는 흥미로운 일들에 대해 이야기하고자 합니다.
00:00:18먼저, 저는 사실 AI를 활용한 코드 생성의 열렬한 팬입니다.
00:00:23이는 사람들이 이전에 경험하지 못했던 방식으로 컴퓨터를 활용할 수 있는 놀라운 기회라고 생각합니다.
00:00:31이 방에는 많은 전문 소프트웨어 개발자들이 계십니다.
00:00:35어릴 때부터 코드를 작성하고,
00:00:38명령줄에서 컴퓨터를 사용하거나 코딩하며 자란 우리들은 이것이 일반 사람들에게 어떤 의미인지 잘 이해하지 못합니다.
00:00:47하지만 역사상 처음으로 일반 사람들이 오랫동안 누려야 했던 방식으로 컴퓨터를 활용할 수 있게 될 것입니다.
00:00:55코딩은 초능력입니다.
00:00:57소프트웨어를 구매하거나 오픈 소스를 사용하거나 다른 사람에게 코드를 작성해달라고 부탁할 필요 없이 컴퓨터에게 무언가를 시킬 수 있다는 것,
00:01:08그것이 바로 초능력입니다..
00:01:11바이브 코딩은 수백만 명의 사람들에게 이러한 능력을 선사하고 있습니다.
00:01:15이는 정말 놀라운 일입니다.
00:01:17우리는 모두에게 접근성을 가져다줄 이 혁명의 시작, 바로 그 초기에 있다는 사실에 매우 기뻐해야 합니다.
00:01:23하지만 동시에 이것은 놀라운 '자멸적 도구'이기도 합니다.
00:01:26아니, '자멸적 도구'라는 말은 아마도 과소평가일 겁니다.
00:01:29마치 이 모든 사람들에게 '발에 쏘는 바주카포'를 쥐여주는 것과 같습니다..
00:01:34일반 사람들이 바이브 코딩 앱을 사용할 때 발생하는 나쁜 일들의 사례는 셀 수 없이 많습니다.
00:01:41어떤 것들은 아이들의 리틀 야구 일정 같은 재미있는 작은 앱이거나 개인 데이터를 입력하는 앱입니다.
00:01:48하지만 어떤 사람들은 의료 기록 시스템이나 비트코인 시스템,
00:01:52또는 개인 데이터를 보관하거나 신용카드 번호를 받거나 운전면허증을 저장하는 시스템을 바이브 코딩으로 만들고 있습니다.
00:02:01사람들이 바이브 코딩 앱을 사용하여 중요한 것들을 만드는 수많은 사례가 있습니다.
00:02:07아마도 이름은 언급하지 않겠지만,
00:02:09제 뒤에 이름이 아주 선명하고 분명하게 보이는 몇몇 경쟁 플랫폼들은 매우 형편없는 기본 설정을 사용하고 사람들에게 이를 쉽게 만들지 않아 상황을 더욱 악화시키고 있습니다.
00:02:21그리고 슈퍼베이스 같은 것들의 정말 나쁜 기본 설정을 사람들이 아주 쉽게 사용하도록 만들고 있습니다.
00:02:29물론 이것은 슈퍼베이스의 잘못은 아닙니다..
00:02:33단지 바이브 코딩 플랫폼,
00:02:35그리고 이러한 것들을 기본적으로 안전하게 구성하지 않는 다른 플랫폼들의 방식 때문입니다.
00:02:41이것은 좋지 않습니다.
00:02:42그리고 단순히 플랫폼에서 직접적인 바이브 코딩에 대해 이야기하는 상황이 아니라,
00:02:48전문가들이 활용하는 경우에도 우리는 이에 대한 좋은 경험적 학술 데이터를 가지고 있습니다.
00:02:54제가 읽어보시길 추천하는 '백벤치 학술 그룹'이라는 훌륭한 논문이 있습니다.
00:02:59그들은 '음,
00:03:00보안 취약점을 가질 수 있는 백엔드 코드를 생성할 수 있을 것 같은 코딩 에이전트용 프롬프트들이 여기 있군'이라고 생각하며 여러 프롬프트를 만들었습니다.
00:03:10그리고 이 프롬프트들을 여러 코딩 도구와 LLM에 대해 테스트했습니다.
00:03:15그들은 첫째, 생성된 코드가 올바른지, 둘째, 보안 결함이 있는지 테스트했습니다.
00:03:21그리고 칭찬할 만하게도, 그들은 새로운 모델이 나올 때마다 이 내용을 계속 업데이트하고 발표하고 있습니다..
00:03:29이것을 확인해볼 수 있습니다.
00:03:31그리고 예상하시겠지만, LLM은 실제로 많은 실수를 저지르고, 또한 많은 결함을 유발합니다.
00:03:37하지만 이제 이것은 올바른 방향으로 나아가고 있습니다..
00:03:41이것을 사진 찍을 필요는 없습니다.
00:03:43backspends.com에 접속하시면 훨씬 읽기 쉬운 버전을 얻을 수 있습니다.
00:03:47또한, 그들의 모든 코드는 오픈 소스이므로 직접 재현해볼 수 있습니다..
00:03:51그래서 첫째, 이것은 올바른 방향으로 나아가고 있습니다, 그렇죠?
00:03:55제품군 내에서만 보더라도, OpenAI의 제품군을 보면 올바른 방향으로 가고 있습니다.
00:04:01GPT-5는 GPT-4.1, GPT-4.0 등보다 훨씬 더 나은 성능을 보여줍니다.
00:04:06동일한 프롬프트를 사용했을 때 취약점이 더 적습니다..
00:04:10이제 여기서 한 가지 문제는 이러한 프롬프트와 테스트가 오픈 소스라는 점입니다.
00:04:14그래서 테스트에 대한 과적합 문제가 발생할 수 있습니다.
00:04:17저희도 같은 현상을 목격했지만,
00:04:19저희 회사에서는 이를 자체적으로 도입하여 저희만의 테스트를 사용하고 있습니다.
00:04:23그리고 저희도 동일한 결과를 보고 있습니다.
00:04:25저희 자체 테스트에서는 사실 Claude Sonnet 4.5가 승자인데,
00:04:29아직 공개적으로 출시되지는 않았습니다.
00:04:31하지만 Anthropic이 GPT-5보다 아주 약간 더 나은 성적으로 선두를 차지했습니다.
00:04:36어쨌든, 이것은 올바른 방향으로 나아가고 있습니다..
00:04:39하지만 여전히,
00:04:40여기 상위권에서도,
00:04:41실제 올바른 코드에 대한 회귀 테스트를 통과한 것들 중 20%가 어떤 종류의 보안 취약점을 가지고 있다면,
00:04:49그것은 환상적인 결과가 아닙니다.
00:04:52보안 전문가로서 제가 정말 보고 싶은 모습은 아닙니다.
00:04:56저는 폴아웃 시리즈의 열렬한 팬입니다.
00:04:59전쟁은 결코 변하지 않죠?
00:05:01그리고 제가 느끼기에는,
00:05:03우리가 여기서 하는 일은,
00:05:05특히 이전에 전문적으로 소프트웨어를 작성해본 적 없는 바이브 코더들에게 기본 무기를 주는 것과 같습니다.
00:05:13그들에게 새총과 배낭을 주고, 날카로운 막대기를 든 돌연변이들로 가득 찬 세상으로 내보내는 거죠.
00:05:20그러면 그들은 즉시 잡아먹힙니다, 그렇죠?
00:05:23왜냐하면 악당들이 코드를 처음부터 발명하는 것이 아니기 때문입니다.
00:05:2820여 년 동안 전문 공격자들은 웹 애플리케이션을 침투하고,
00:05:33모바일 앱을 해킹하고,
00:05:35이러한 것들을 역설계하는 방법,
00:05:37특히 악의적인 행위를 위한 재정 모델을 구축하는 방법을 알아냈습니다.
00:05:42그래서 우리는 이제 기적적으로 새로운 방식으로 컴퓨터를 사용할 수 있게 된 완전히 새로운 세대의 사람들을,
00:05:50소프트웨어의 버그를 수익화하는 것이 직업인 전문가들과 맞서게 하고 있습니다.
00:05:56이는 보안 업계에서 이러한 취약점을 분류하고 정량화하는 방식에 반영되어 있습니다.
00:06:02우리가 사용하는 프레임워크 중 하나는 MITRE ATT&CK 프레임워크라고 불립니다.
00:06:09보안 분야에서 우리는 군사 분야의 킬 체인 개념을 차용했지만,
00:06:13기본적으로 공격자로서 효과적인 침입을 위해 거쳐야 하는 단계들을 의미합니다.
00:06:19왼쪽에서 오른쪽으로 정찰, 자원 개발, 접근, 실행, 지속성 등과 같은 단계들이 있습니다.
00:06:26그리고 아래로는 다양한 기술 범주들이 있습니다.
00:06:30이들 각각에는 때로는 수십 또는 수백 가지의 다른 기술들이 존재합니다.
00:06:35이것은 MITRE의 최상위 수준일 뿐입니다.
00:06:38MITRE는 미국 정부가 이 복잡한 차트를 만들도록 비용을 지불하는 조직으로,
00:06:44이 모든 것을 분류하여 보안 커뮤니티에서 다양한 위협 행위자를 추적하고,
00:06:50현장에서 목격하는 것에 대해 표준화된 언어로 이야기할 수 있도록 합니다.
00:06:55그래서 우리는 이 도구들을 우리의 귀여운 볼트 거주자들에게 주고 '자,
00:07:00행운을 빌어!'라고 말하는 것과 같습니다!
00:07:04그리고 그들이 나아가는 세상은 이 모든 일을 하는 악당들로 가득합니다.
00:07:09attack.mitre.org에 접속하면 알려진 익스플로잇 체인,
00:07:14AP-228 및 29,
00:07:15UNC-3886과 같은 다양한 위협 그룹으로부터 현장에서 발생한 알려진 사건들의 목록을 볼 수 있습니다.
00:07:23이는 중국 인민공화국 국가안전부나 러시아 SVR,
00:07:27또는 Lapsys와 같은 전문적인 금전적 동기를 가진 그룹들의 전체 목록과 같습니다.
00:07:33그리고 여기에는 그들이 다양한 피해자들을 공격하는 데 사용한 기술들이 나와 있습니다.
00:07:40바이브 코더들이 이 모든 것을 이해할 것이라는 생각은 그저 터무니없습니다.
00:07:45하지만 지금까지는 사실상 그런 가정이 깔려 있었습니다.
00:07:50그렇다면 우리는 무엇을 더 잘할 수 있을까요.
00:07:53음,
00:07:53우리가 할 수 있는 첫 번째 일은 실제로,
00:07:57아시다시피 엔지니어로서 문제를 해결하고 싶을 때 문제를 조각조각 나누기 시작하는 것입니다,
00:08:04그렇죠.
00:08:04그리고 사실 우리는 여기서 완전히 다른 두 가지 문제 범주를 가지고 있습니다.
00:08:10첫 번째는 이러한 도구의 사용을 두 가지 주요 범주로 나누는 것입니다?
00:08:15첫 번째는 실제 바이브 코딩입니다, 그렇죠?
00:08:19제가 바이브 코딩에 대해 이야기할 때,
00:08:21저는 전문 소프트웨어 엔지니어가 아닌 일반 사람들을 의미합니다,
00:08:26그렇죠.
00:08:27즉, 실제 일반적인 취미를 가진 사람들 말입니다.
00:08:30따라서 이 방에 없는 사람들, 그렇죠?
00:08:33목요일 오후에 이 컨퍼런스에 오지 않고, Chip AI에 있는 것보다 더 나은 일을 하는 사람들 말입니다?
00:08:41괜찮습니다.
00:08:42여기 있는 것은 좋습니다?
00:08:44저도 여기 있습니다.
00:08:46하지만 만약 당신이 여기 있다면, 당신은 바이브 코더가 아닙니다, 그렇죠.
00:08:51아시다시피, 우리는 일하는 사람들입니다.
00:08:54우리가 AI를 사용할 때, 우리는 아마도 AI 지원 엔지니어링을 하고 있을 것입니다, 그렇죠?.
00:09:09그러니까 바이브 코딩은 역사상 처음으로 자신들을 위해 만들어진 새로운 도구들로 이러한 기능을 사용할 수 있게 된 사람들을 의미합니다.
00:09:17그래서 우리가 가장 먼저 해야 할 일은 문제의 전체 범주와 사람들이 이러한 도구를 사용하는 방식을 구분하는 것입니다.
00:09:24그리고 저는 AI 지원 엔지니어링을 바이브 코딩이라고 부르는 것을 멈춰야 한다고 생각합니다.
00:09:29아마 AI 지원 엔지니어링은, 여기서 더 나은 용어를 생각해낼 수 있을 것입니다.
00:09:34하지만 이것은 자동 완성,
00:09:36탭 완성,
00:09:36커서 사용부터 시작해서,
00:09:38이제는 전문 엔지니어가 자신이 원하는 작업을 하는 동안 백그라운드에서 네다섯 개의 다른 에이전트를 파견하여 다른 작업을 수행하게 하는 것까지 다양합니다.
00:09:47그리고 그 에이전트들이 자율적으로 작동하더라도,
00:09:50엔지니어는 여전히 주도권을 가지고 있고 자신이 원하는 것을 알고 있습니다.
00:09:54이것은 바이브 코딩과는 여전히 매우 다릅니다.
00:09:57바이브 코더는 종종 완전한 기능을 갖춘 플랫폼에 의존합니다, 그렇죠?
00:10:01그래서 그들은 처음부터 끝까지 모든 것을 효과적으로 처리해주는 플랫폼이 필요합니다.
00:10:06그들은 조각조각 맞춰나가지 않습니다.
00:10:08그들은 결과를 설명합니다.
00:10:10그들은 원하는 결과가 있습니다.
00:10:11그것을 영어로든 어떤 언어로든 말할 수 있습니다.
00:10:14시각적으로 할 수도 있습니다, 그렇죠?
00:10:17그래서 GUI 등으로 배치할 수 있게 해주는 플랫폼들이 많이 있습니다.
00:10:21V0가 분명히 좋은 예시입니다.
00:10:23그래서 그들은 원하는 결과가 있습니다.
00:10:25그들은 반드시, 그곳에 도달하는 방법을 설명하지 않을 가능성이 높습니다.
00:10:29그들은 종종 '그린필드'에서 시작합니다..
00:10:34그래서 그들은 바이브 코딩 플랫폼이 하는 일이 기존 코드베이스나 기존 아키텍처에 맞춰질 필요가 없다는 이점을 가집니다.
00:10:42이는 보안 관점에서 실제로 훌륭한 점입니다.
00:10:45잠시 후에 그에 대해 이야기할 수 있습니다.
00:10:48하지만 이것은 바이브 코딩 플랫폼에 보안 관점에서 많은 이점을 제공합니다.
00:10:53기존 AWS나, 설마 자가 호스팅 아키텍처 같은 것에 맞춰질 필요가 없기 때문입니다..
00:11:00여기서 단점은 그들 스스로 결과물을 안전하게 만들 능력이 거의 없다는 것입니다.
00:11:05그래서 사람들이 '왜 이런 오류가 뜨지?' 또는 '내 비트코인 다 어디 갔지?'라고 트윗하는 문제들이 생겨나는 지점입니다?
00:11:14X에서 '내 비트코인 다 어디 갔지'라고 검색하면 많은 트윗을 볼 수 있죠?
00:11:19왜냐하면 그 이유는 여러 가지가 있겠지만,
00:11:22이제 바이브 코딩이 사람들이 그런 트윗을 하는 이유 중 하나가 되었기 때문입니다.
00:11:28그들은 결과물을 보고 그것이 안전한지 아닌지를 판단할 능력이 없기 때문입니다?
00:11:33반면에 AI를 사용하여 자신의 작업을 개선하는 소프트웨어 엔지니어는 에이전트를 감독하는 전문가입니다..
00:11:41다시 말해, 그것은 '함수를 시작했으니 마무리해줘'처럼 간단할 수도 있습니다.
00:11:46또는 '이 버그가 있으니 이 버그를 해결해줘'처럼 복잡할 수도 있습니다.
00:11:50그리고 에이전트를 30분 동안 당신을 위해 일하도록 파견하는 것일 수도 있습니다.
00:11:55하지만 결국 그들은 훨씬 더 구체적인 요청과 함께 원하는 구성 요소를 설명할 것입니다.
00:12:00그래서 그들은 훨씬 더 구체적이며,
00:12:02원하는 결과물보다는 '내가 원하는 단계들의 계층은 이렇다'는 식으로 설명합니다.
00:12:06그리고 그들은 또한 '좋아, 먼저 계획을 세워줘.
00:12:09네가 계획을 수정하고, 그 계획을 에이전트에게 다시 주면 단계별로 실행하게 해'라고 지시할 수도 있습니다.
00:12:15이제 이러한 사람들에게 단점은,
00:12:17종종 기존 코드베이스와 함께 작업하고,
00:12:19요구사항,
00:12:20규정 준수 요구사항,
00:12:21아키텍처 요구사항이 많다는 것입니다.
00:12:23AI 지원 엔지니어링을 한다면 보통 그린필드에서 시작하지 않습니다.
00:12:27그래서 이런 종류의 사람이라면 어떤 종류의 보안 계획을 세우는 것이 그리 쉽지 않습니다.
00:12:32하지만 당신은 바라건대 어느 정도의 보안 기술을 가지고 있을 것이고,
00:12:36심지어 전담 보안 팀에 의존할 수도 있을 것입니다.
00:12:39그래서 이 사람들은 우리가 도울 수 있는 매우 다른 보안 요구사항을 가지고 있습니다.
00:12:44그들은 그들만의 해결책이 필요합니다.
00:12:46그렇다면 AI 코딩 플랫폼에서 일하는 사람들을 포함하여,
00:12:50이러한 사람들을 돕기 위해 우리가 그룹으로서 할 수 있는 해결책은 무엇일까요??
00:12:56그렇다면 바이브 코더들에게 필요한 것은 무엇일까요? 첫 번째는 '설계부터 보안'이 되어야 한다는 것입니다.
00:13:01그래서 우리가 '설계부터 보안'에 대해 이야기할 때,
00:13:02우리는 종종 최종 제품에 대해 이야기하는 것입니다,
00:13:04그렇죠?
00:13:04이것은 종종 SaaS 플랫폼이 기본적으로 좋은 인증 옵션을 가지고 있어야 하고,
00:13:09모든 설정이 기본적으로 안전해야 하며,
00:13:11사용자가 의도적으로 이러한 안전한 설정을 꺼야 한다는 등의 이야기를 하는 것입니다.
00:13:15AI 코딩 관점에서 우리가 정말 원하는 것은 바이브 코딩 설정,
00:13:18아키텍처,
00:13:19그리고 코드가 '의견을 가질' 수 있어야 한다는 것입니다.
00:13:22AI 코딩 에이전트가 '이것이 당신이 사용해야 할 구성 요소이고,
00:13:25이것이 처음부터 올바르게 작동하도록 구성되어야 하는 방식이다'라는 정말 좋은 의견을 가지고 있어야 합니다.
00:13:31제가 슈퍼베이스 예시나 어떤 종류의 데이터베이스에 대해 이야기했듯이 말입니다.
00:13:35역할 기반 보안에 대한 의견을 가지고 있어야 합니다..
00:13:39기본적으로 사용자들은 데이터에 거의 또는 전혀 접근할 수 없어야 하며,
00:13:44필요할 때 명시적으로 데이터 접근 권한을 부여해야 한다는 의견을 가지고 있어야 합니다,
00:13:50그렇죠?
00:13:50모든 것에 접근할 수 있는 백엔드 데이터베이스를 가지고 있다가 나중에 차단하는 방식이 되어서는 안 됩니다.
00:13:59이에 대해 강력한 의견을 가지고 사용자를 대신하여 결정을 내려야 합니다.
00:14:05왜냐하면 이 시나리오에서 바이브 코더가 스스로 그러한 결정을 내릴 가능성은 낮기 때문입니다.
00:14:12또한 요청받은 프로젝트가 자신이 편안하게 수행할 수 있는 범위를 벗어나는지 여부를 감지해야 할 것입니다.
00:14:20여러 바이브 코딩 플랫폼에서는 '의료 기록 시스템을 만들어주세요'라고 요청하면 그렇게 해주고 '여기 있습니다.
00:14:29의료 기록 시스템입니다.
00:14:31HIPAA를 준수합니다'라고 말합니다.
00:14:34네, 놀라운 소식입니다.
00:14:36그것은 HIPAA를 준수하지 않았습니다..
00:14:40전문가로서, 공개 기업의 CSO로서 말씀드리자면, 그것은 사실이 아니었습니다.
00:14:44단순히 'HIPAA를 준수한다'고 말한다고 해서 마법처럼 HIPAA를 준수하게 되는 것이 아닙니다.
00:14:48그렇게 작동하지 않습니다.
00:14:49그리고 그가 지적했습니다.
00:14:50'저는 그것이 HIPAA를 준수한다고 생각하지 않습니다.' 그러자 저는 '아, 맞아요.
00:14:54저도 그렇게 생각하지 않아요'라고 말했습니다.
00:14:56그리고 몇 가지 변경을 했습니다.
00:14:57'이제 HIPAA를 준수합니다.' 여전히 아니었죠, 그렇죠.
00:15:00이것은 제가 바이브 코딩 플랫폼을 만들고 있다면,
00:15:02만약 당신이 저에게 의료 기록 시스템을 만들어달라고 요청한다면,
00:15:04저는 아마도 '아니요,
00:15:05그렇게 하지 않을 겁니다.
00:15:06그건 나쁜 생각입니다?
00:15:07선생님은 잘못된 곳에 오셨습니다'라고 말할 종류의 일입니다.
00:15:10'제 비트코인을 저장할 시스템을 만들어주세요'와 같은 것도 마찬가지입니다.
00:15:13저는 '아니요, 그렇게 하지 않을 겁니다.
00:15:15그건 좋은 생각이 아닙니다.
00:15:16저는 당신의 비트코인을 저장하지 않을 겁니다.
00:15:18그건 도난당할 겁니다.
00:15:19그 비트코인은 북한으로 직행하여 로켓을 사는 데 사용될 겁니다.
00:15:22당신은 비트코인으로 다른 일을 해야 합니다'라고 말할 것입니다..
00:15:26바이브 코딩 플랫폼은 자신들의 한계를 알아야 합니다.
00:15:29그리고 사람들의 개인 정보를 저장하는 것과 같이 중간 정도의 일을 요청하면,
00:15:34플랫폼이 이를 허용하되,
00:15:35여러 보안 기능을 작동시키고 가능하다면 보안 에이전트를 투입해야 합니다.
00:15:39마치 여러 바이브 코딩 플랫폼에서 데이터를 저장하고 싶으면 '좋아,
00:15:43데이터베이스 서버가 필요해'라고 말하고,
00:15:46비디오를 재생하고 싶으면 '알았어,
00:15:48비디오 CDN이 필요해'라고 말하는 것처럼 말입니다,
00:15:51그렇죠?
00:15:52그래서 중간 정도의 일들이 있지만, '아니, 그건 나쁜 생각이야.
00:15:55당신을 위해 그렇게 하지 않을 거야'라고 단호히 말해야 할 것들도 있습니다.
00:16:00그리고 마지막으로,
00:16:01그들에게 필요한 것은 코드 검토를 할 수 있도록 파트너들과 그러한 협력 관계를 맺는 것입니다.
00:16:07왜냐하면 바이브 코더는 '아,
00:16:08저는 이미 소프트웨어 검토 도구와 관계를 맺고 있습니다'라고 말하지 않을 것이기 때문입니다..
00:16:15그것은 그들이 가져올 만한 것이 아닙니다.
00:16:18그래서 데이터베이스 파트너와의 기본적인 관계처럼, 그것이 기본 제품에 내장되어 있기를 바랄 것입니다..
00:16:25보안적 온정주의(또는 모성주의, 원하신다면)는 괜찮습니다.
00:16:29스스로 그렇게 할 능력이 없는 사용자들을 대신하여 결정을 내리는 것은 괜찮습니다.
00:16:34저는 이것이 보안 업계가 두려워했던 일이라고 생각합니다.
00:16:38왜냐하면 보안 전문가로서 우리는 다른 사람들을 대신하여 내린 결정에 대해 책임을 지는 것을 두려워하기 때문입니다.
00:16:45이것은 보안 전문가들의 흔한 문제입니다.
00:16:47우리는 외줄을 만들고, 누군가 외줄에서 떨어지면 '아, 젠장, 미안.
00:16:52외줄 타는 법을 모르는 모양이군.
00:16:54네 잘못이야, 그렇지?'라고 말합니다?
00:16:56그것은 옳지 않습니다.
00:16:58사람들이 그 심연을 건널 수 있는 안전한 방법을 제공하고,
00:17:01사람들이 떨어지면 어느 정도 책임을 지는 것이 더 낫습니다.
00:17:05우리가 일을 너무 어렵게 만드는 것은 옳지 않습니다.
00:17:08특히 비전문가들이 사용할 것이라고 아는 제품을 만들고 있다면,
00:17:12이러한 경우에 약간 온정주의적인 태도를 취하고 결정을 내리는 것은 괜찮습니다.
00:17:17그렇다면 전문가라면 어떨까요.
00:17:19전문가들이 사용하는 제품을 만들고 있다면요?
00:17:22이것은 클라우드 코드나 커서와 같이 사람들이 더 전문가일 것으로 예상하는 제품과 비슷할 것입니다?
00:17:28이제 클라우드 코드는 흥미로운 과제입니다.
00:17:31왜냐하면 그것은 일반인과 여기 있는 사람들 모두에게 사용되기 때문입니다, 그렇죠.
00:17:36그래서 Anthropic의 제품 관리자라면,
00:17:38'바이브 코드 모드'와 같은 모드를 가질 것인지,
00:17:41아니면 사전에 테스트를 제공하여 감지할 것인지와 같은 문제가 됩니다.?
00:17:48정확히 어떻게 접근하고 싶은지는 모르겠지만, 제품 관리자 관점에서 흥미로운 과제가 있다고 생각합니다.
00:17:54어느 시점에서 사용자를 대신하여 일을 처리하는 '바이브 코드 모드'를 활성화할 것인지,
00:17:58아니면 사용자에게 더 많은 기능을 제공할 것인지 말입니다..
00:18:01그래서 커서와 같은 것은 아마도 전문 엔지니어들만이 사용해야 할 것입니다.
00:18:05그래서 전문 엔지니어들도 '설계부터 보안'이 필요합니다.
00:18:09하지만 방식은 다릅니다, 그렇죠?
00:18:12전문 엔지니어를 위한 '설계부터 보안'을 한다면,
00:18:15아마도 광범위하고 포괄적인 아키텍처 결정을 내리지는 않을 것입니다.
00:18:20하지만 당신이 하는 일은,
00:18:22GPT-5에서 20%의 시간 동안,
00:18:24또는 Grok 상황에서 60%의 시간 동안 우리가 방금 이야기했던 그런 어리석은 보안 실수를 저지르지 않는 것입니다,
00:18:32그렇죠?
00:18:33기본적으로 결함이 없는 코드를 만들고 작성해야 합니다.
00:18:37그리고 최소한 사용자에게 '제가 기본적으로 이것을 더 잘 해드릴 수 있을까요?'라고 묻고 질문해야 합니다?
00:18:44그리고 나서 좋은 생각이 아닌 기본 결정을 내리려고 노력해야 합니다.
00:18:49이러한 에이전트들이 실제로 상당히 서툰 점은 큰 그림에 집중하는 것입니다..
00:18:56여러분 모두 이런 경험을 해보셨을 겁니다.
00:18:59코딩 에이전트에게 '많은 일을 하는 엄청나게 복잡한 시스템을 만들고 싶습니다'라고 요청하면,
00:19:05에이전트는 '좋습니다,
00:19:06지금 바로 코드를 작성하겠습니다'라고 말합니다.
00:19:10우리는 그렇게 소프트웨어를 만들지 않습니다, 그렇죠?
00:19:1320명의 사람들을 모아 엄청나게 복잡한 분산 시스템을 만들면서 파일을 열고 코드를 작성하는 것부터 시작하지 않습니다,
00:19:21그렇죠?
00:19:22제품 요구사항 문서(PRD)가 있고, 설계 회의를 합니다..
00:19:26우리의 요구사항이 무엇인지 생각합니다.
00:19:29많은 제품 관리를 합니다.
00:19:30몇 가지 예외는 있지만, 대부분의 경우 코딩 에이전트는 그냥 코드를 작성하기 시작하고 싶어 합니다.
00:19:36그것이 그들이 아는 전부입니다.
00:19:38그들은 즉시 뛰어듭니다.
00:19:39그래서 저는 이러한 것들이 속도를 늦추고,
00:19:42계획 단계를 거치며,
00:19:43'아키텍처와 디자인을 구상하자'는 식으로 훨씬 더 신중하게 접근하는 것이 좋을 것이라고 생각합니다.
00:19:49그리고 API를 문서화하고, 입력 유효성 검사를 어떻게 할 것인지 문서화하는 것과 같은 일을 해야 합니다.
00:19:55이러한 종류의 아키텍처에서 흔한 결함을 어떻게 방지할까요?
00:19:58'분명히 다른 서비스들을 가지게 될 것을 설계하고 있는데,
00:20:02그 다른 서비스들을 어떻게 인증할까요?'와 같은 서비스 간 인증은 어떻게 할까요?
00:20:06이것은 거의 어떤 코딩 에이전트도 생각하지 않는 종류의 일이며,
00:20:10전문 엔지니어라 할지라도 시작할 때 미리 해두면 정말 사려 깊은 일이 될 것입니다.?
00:20:16그리고 우리는 또한 AI 보안 에이전트를 가질 수 있는 능력도 필요합니다.
00:20:20지금 벌어지고 있는 재미있는 일 중 하나는,
00:20:23작은 스타트업에서 일하거나 22살이라면 소프트웨어를 작성하는 유일한 사람들은 소프트웨어 엔지니어라고 생각할 수 있지만,
00:20:30이 방에는 많은 전문가들이 계십니다..
00:20:33전문가일 때,
00:20:34특히 규제 대상 회사나 비행기를 만드는 것과 같은 중요한 일을 하는 회사에서 일한다면,
00:20:40소프트웨어 엔지니어뿐만 아니라 보안 엔지니어,
00:20:43보안 아키텍트,
00:20:44개인 정보 보호 엔지니어,
00:20:45규정 준수 담당자,
00:20:47그리고 변호사도 있다는 것을 깨닫게 됩니다.
00:20:49압니다.
00:20:50우리가 이 모든 사람들을 엄청나게 좋아하는 것은 아니지만, 그들은 실제로 중요한 일을 합니다.
00:20:56이 사람들이 존재하는 이유가 있고, 그들이 코드베이스에 영향을 미치는 이유가 있습니다.
00:21:02왜냐하면 소프트웨어로 인해 나쁜 일들이 발생했기 때문에,
00:21:06우리는 소프트웨어를 작성하는 이유,
00:21:08규정 준수 규칙을 가져야 하는 이유,
00:21:11제품 관리를 하는 이유,
00:21:12개인 정보 보호법 등을 가져야 하는 이유에 대한 온갖 종류의 규칙을 만들어냈습니다.
00:21:18우리가 한 일은 소프트웨어 엔지니어의 업무,
00:21:21즉 40시간 근무 주를 20분짜리 GPU 시간으로 바꾼 것입니다.
00:21:25글쎄요,
00:21:26다른 모든 사람들은 여전히 40시간 근무 주를 일하고 회의실에서 서로 교류하며,
00:21:31MCP를 통해 소통하지 않고,
00:21:33백그라운드에서 10개의 에이전트가 코드를 쏟아내는 소프트웨어 엔지니어와 같은 속도로 작동할 수 없습니다.
00:21:40우리가 또한 해야 할 일은,
00:21:42여전히 중요한 업무를 가진 다른 모든 사람들이 AI 코딩 시대의 소프트웨어 엔지니어만큼 효율적일 수 있도록 메커니즘을 구축하는 것입니다.
00:21:51왜냐하면 결국 회사에는 여전히 실제 책임을 가진 인간들이 있기 때문입니다.
00:21:56사실,
00:21:57코딩 에이전트를 사용하는 소프트웨어 엔지니어들이 일을 잘못하면 이 사람들 중 일부는 감옥에 갈 수도 있습니다.
00:22:04저는 공개 기업의 CISO를 세 번 역임했습니다.
00:22:07그것은 정말 무서운 직업입니다.
00:22:10제가 농담처럼 하는 말인데,
00:22:11사실은 아니지만 조금은 사실처럼 느껴지는 것은 CISO라는 단어가 '가장 먼저 도살되는 염소'를 의미하는 그리스어라는 것입니다,
00:22:20그렇죠?
00:22:21하지만 요즘 CISO가 되는 것은 정말 무섭습니다.
00:22:24왜냐하면 수백,
00:22:25수천,
00:22:25수만 명의 다른 사람들이 할 수도 있는 일에 대해 비난을 받게 되는데,
00:22:30그것을 실제로 통제하거나 심지어 이해할 수도 없기 때문입니다.
00:22:34그리고 이것은 그 모든 사람들 각자가 코드를 작성하는 다섯 개의 백그라운드 에이전트를 가지기 전에도 사실이었습니다.
00:22:42그래서 우리는 규정 준수,
00:22:44개인 정보 보호,
00:22:45안전,
00:22:45보안과 관련하여 엄청나게 중요한 업무를 가진 이 인간들이 물리적 세계에서 지켜야 할 규칙들이 여전히 강제되고 있다는 것을 이해하고 어느 정도 파악할 수 있는 방법을 찾아야 합니다.
00:22:58그래서 Corridor에서는 AI 코딩을 엔터프라이즈 준비 상태로 만들기 위해 표준화가 필요한 두 가지 영역이 있다고 믿습니다.
00:23:06더 많겠지만, 최소한 두 가지 영역에서 시작해야 합니다.
00:23:10첫째, 텔레메트리, 그리고 보안 워크플로우입니다.
00:23:13텔레메트리 측면에서는 이에 대한 블로그 게시물을 작성할 예정입니다.
00:23:18아마 다음 주에 나올 것입니다.
00:23:20우리는 보안 에이전트가 자신들이 하는 모든 일, 사용자들과의 모든 상호 작용을 내보내야 한다고 생각합니다.
00:23:27이것은 기업이라면 사람들이 에이전트로 무엇을 하는지,
00:23:31누가 누구로 로그인했는지,
00:23:32프롬프트에 대한 완전한 가시성,
00:23:35에이전트가 어떤 도구를 호출하는지에 대한 완전한 가시성,
00:23:38그리고 특히 어떤 코드가 생성되고 있는지에 대한 완전한 가시성을 한 중앙 집중식 장소에서 볼 수 있어야 하는 종류의 것입니다.
00:23:47저희 제품은 실제로 이러한 가시성을 제공하지만,
00:23:50모든 코딩 에이전트가 어떻게 작동하는지 역설계하여 해야 합니다.
00:23:54다소 해킹적이고, 그리 재미있지 않습니다.
00:23:57코딩 에이전트가 이를 지원한다면 훨씬 더 좋을 것입니다..
00:24:07여기서 가장 앞서나간 회사는 Anthropic입니다.
00:24:10Claude Code는 텔레메트리 기반의 표준을 지원하므로, 훌륭한 오픈 표준입니다.
00:24:14상당히 깔끔합니다.
00:24:15현재 출시된 버전에서는 필요한 것의 70%를 갖추고 있습니다.
00:24:19미래 버전에서는 우리 모두에게 필요한 것의 90%를 출시할 것으로 보입니다.
00:24:23그래서 첫째,
00:24:24Anthropic이 모든 것을 출시하고,
00:24:26둘째,
00:24:26다른 모든 회사들이 이를 따라 한다면 정말 좋을 것입니다.
00:24:29하지만 모든 코딩 에이전트가 모든 사람들의 활동에 대한 텔레메트리를 얻을 수 있는 능력을 갖춘다면 정말 멋질 것입니다.
00:24:36그것은 단지 첫 단계일 뿐입니다.
00:24:37어떤 보안 솔루션이든 첫 단계는 '무슨 일이 일어나고 있는지 아는 것'입니다.
00:24:42그리고 이것이 MDM, 즉 기기 관리로 구성될 수 있다면 정말 멋질 것입니다.
00:24:46그래서 기업 CISO로서 MDM 공급업체를 사용하여 모든 사람의 기기에 '이곳으로 모든 텔레메트리를 보내라'고 푸시할 수 있을 것입니다.
00:24:53그러면 에이전트들이 모든 기기에 나가서 데이터를 가져오려고 할 필요가 없을 것입니다.
00:24:58두 번째로, 제가 생각하기에 더 중요하고 흥미로운 영역은 그 대화를 표준화할 메커니즘이 필요하다는 것입니다.
00:25:04우리가 이야기했듯이, 소프트웨어 엔지니어와 보안 엔지니어는 커피를 마시며 대화를 나누곤 했습니다..
00:25:10글쎄요,
00:25:11우리는 보안 에이전트와 소프트웨어 에이전트가 서로 대화하여 인간들이 하던 일을 재현할 수 있는 표준화된 방법이 필요합니다.
00:25:18그리고 그것은 일종의 결정론적이어야 합니다..
00:25:20다시 말해, 저희는 지금 저희 제품으로 이 작업을 하고 있지만, 억지로 끼워 넣어야 했습니다.
00:25:26그리고 그것은 비결정론적입니다.
00:25:27LLM의 '느낌'에 기반합니다.
00:25:29코딩 에이전트에게 30분 동안 백그라운드에서 무언가를 하도록 요청하면,
00:25:33그 에이전트가 보안 에이전트에게 가서 '제 계획은 이렇습니다'라고 말하고,
00:25:37계획에 대한 피드백을 받고,
00:25:39'제 코드는 이렇습니다'라고 말하고,
00:25:41코드를 검사받고,
00:25:42모든 버그를 검사받고,
00:25:43그리고 모든 버그를 수정하는 것이 좋을 것입니다.
00:25:46이 모든 것이 엔지니어의 개입 없이 이루어지는 것입니다.
00:25:49그리고 보안 팀은 이 체크리스트에서 '네, 이 모든 것이 해결되었습니다'라고 확인하는 것이죠.
00:25:54정말 멋질 것입니다.
00:25:55그래서 저희 Corridor가 지금 가지고 있는 것은 이렇습니다.
00:25:59저희는 오늘 GA(일반 출시)로 이것을 출시했습니다.
00:26:02저희는 엔터프라이즈 고객을 보유하고 있었지만,
00:26:05오늘 GA로 출시한 것은 VR ID 플러그인과 MCP를 통해 코딩 에이전트에 연결하여,
00:26:10무언가를 요청하면 저희에게 계획을 보냅니다.
00:26:12그러면 저희는 그것을 사용하여 코드베이스에 특화된 보안 컨텍스트를 제공할 수 있습니다.
00:26:17그리고 그것은 일반적인 보안 조언뿐만 아니라,
00:26:20회사가 해당 회사에 특화된 보안 규칙을 가질 수 있도록 합니다.
00:26:23예를 들어,
00:26:24당신이 큰 은행이고 '사회 보장 번호는 이렇게 처리합니다' 또는 '신용 카드 번호는 이렇게 토큰화합니다'와 같은 규칙을 가지고 있다고 가정해 봅시다.
00:26:32그것이 바로 코딩 에이전트가 처음부터 자신의 역할을 제대로 수행하도록 보장하기 위해 보안 에이전트에 제공할 수 있는 컨텍스트입니다.
00:26:40그리고 나서 우리는 백엔드에서 그 코드를 스캔하여 그 규칙이 제대로 적용되었는지 확인합니다.
00:26:45그리고 저희는 또한 IDE 플러그인에서 텔레메트리를 수집합니다.
00:26:49그래서 우리는 이 모든 상호 작용을 보고 플러그인이 제 역할을 하고 있는지 확인할 수 있습니다.
00:26:54그리고 모든 사람들이 사용하고 있는 승인되지 않은 코딩 도구들도 볼 수 있습니다.
00:26:59물론 여러분 중 누구도 보안 팀의 승인을 받지 않은 코딩 도구를 직장에 가져오지는 않을 것입니다.
00:27:04이 방에는 규칙을 잘 따르는 분들이 많을 것이라고 확신합니다.
00:27:08그래서 저희는 이미 이 작업을 하고 있지만,
00:27:10많은 다른 코딩 에이전트들이 지원하는 표준적인 것이 되고,
00:27:14많은 사람들이 저희와 경쟁하고 저희 제품을 복사할 수 있다면 정말 멋질 것입니다..
00:27:22괜찮습니다.
00:27:23많은 사람들이 이런 종류의 작업을 하면서 이 분야의 '크리넥스'가 되는 것을 기쁘게 생각합니다.
00:27:28하지만 저는 이것이 코딩 에이전트와 보안 에이전트가 관계를 맺는 미래가 될 것이라고 생각합니다.
00:27:34마치 요즘 보안 엔지니어와 소프트웨어 엔지니어가 완전히 우호적이고 전혀 경쟁적이거나 어렵지 않은 관계를 맺고 있는 것처럼 말입니다..
00:27:42저희는 오늘 이것을 GA로 자랑스럽게 출시했으며, Vercel의 AI 에이전트 마켓플레이스에 등록했습니다.
00:27:48그래서 저희는 바로 그 상단에 있습니다.
00:27:50corridor.dev에서 저희를 확인하시거나 Vercel 마켓플레이스에서 저희를 찾으실 수 있습니다.
00:27:56저희는 그곳의 유일한 보안 제품입니다.
00:27:58그래서 Vercel의 파트너십에 진심으로 감사드리며, 오늘 이 시간을 할애해주셔서 감사합니다.
00:28:03저희와 대화하고 싶으시다면, 저희 CEO이자 공동 창립자인 잭과 저는 복도에 있을 것입니다.
00:28:09어쨌든, 저는 우리가 함께 할 수 있는 많은 일들이 있다고 생각합니다.
00:28:12수백만 명의 사람들에게 AI 코딩 에이전트라는 이 초능력을 부여하면서도,
00:28:16세상에 존재하는 악당들로부터 그들을 보호할 수 있습니다.
00:28:20어쨌든, 저는 알렉스입니다, alex@corridor.dev.
00:28:23언제든지 대화하고 싶으시면 복도에 있거나 이메일을 보내주세요.
00:28:26정말 감사합니다.
00:28:27Vercel에게도 정말 감사합니다.
00:28:29즐거운 하루 보내세요..