Show GN: 내일도, URL만 넣으면 9개 AI 에이전트가 바이브코딩 서비스의 보안을 분석합니다
(naeildo.com)안녕하세요, 내일도(Naeildo)를 만들고 있는 팀입니다.
Cursor, Claude Code 같은 AI 코딩 도구로 빠르게 서비스를 만드는 분들이 많아졌습니다. 저희도 그중 하나였고, 어느 날 문득 "이 코드가 정말 안전한가?"라는 질문이 남았습니다.
직접 확인해보기로 했습니다. 국내 스타트업 28개의 실서비스를 OWASP Top 10 기준으로 분석해봤는데, 예상과 다른 결과가 나왔습니다.
- AI 생성 코드의 45%에서 보안 취약점 발견
- 28개 서비스 평균 보안 점수: 100점 만점에 19.4점
- 가장 흔한 취약점: API 키 하드코딩, JWT 만료시간 미설정, CORS 전체 허용
이 문제를 해결하고 싶어서 내일도를 만들었습니다.
어떻게 작동하나요
URL을 입력하면 9개 AI 에이전트가 3개 팀으로 나뉘어 분석합니다.
- Guard팀 (3명): 정적 코드 분석, 의존성 감사, 인프라 보안 점검
- Analyst팀 (3명): 동적 보안 테스트, 인증/접근 제어 검증, AI 코드 패턴 분석
- Verifier팀 (3명): OWASP 표준 준수 확인, 컴플라이언스 검증, 전체 결과 교차 검증
각 에이전트가 독립적으로 분석한 뒤, 이중 경로(URL 외부 신호 수집 + MCP 서버 연동)로 교차 검증합니다. 한 에이전트가 놓친 부분을 다른 에이전트가 잡아내는 구조입니다.
코드를 직접 제출하지 않아도 됩니다. URL에서 관찰 가능한 헤더, TLS, CORS, DNS, 콘텐츠 메타 등의 신호를 수집해서 분석합니다.
분석 결과물
- 취약점 목록 + 심각도 분류
- 단계별 개선 가이드: 1번부터 순서대로 따라 하면 끝나는 형태 (수정 코드 예시 포함)
- PDF 리포트: 보안 점검 결과를 문서로 정리해서 공유할 수 있는 형태
- 마크다운 형식: 개발자가 바로 실행할 수 있는 형태
만들게 된 이유
KISIA 조사에 따르면 국내 기업의 67.4%가 보안 조직 자체를 운영하지 않고 있고, 기업당 보안 전담인력은 평균 0.8명입니다. 보안 점검을 하고 싶어도 전문 인력이나 외부 의뢰 없이는 시작하기 어려운 구조입니다.
AI 코딩 도구로 서비스를 만드는 속도는 빨라졌는데, 그 코드를 검증할 수 있는 접근 가능한 수단이 부족하다고 느꼈습니다. URL 하나로 바로 분석을 돌려볼 수 있으면 좋겠다는 생각에서 시작했습니다
기술 스택
- Next.js 기반 웹 애플리케이션
- Multi-AI Agent 아키텍처 (Guard / Analyst / Verifier 3팀 9에이전트)
- URL 기반 멀티모델 교차 검증 파이프라인
피드백이나 궁금한 점이 있으시면 댓글로 남겨주세요. 기술적인 질문도 환영합니다. 적극 답변드리겠습니다.
댓글과 토론
Mythos도 false positive가 그렇게 많았다는데 사람이 검토는 하신건지 궁금하기도 하고..
기존 툴 대비 객관적으로 우수성이 증명되지 못했다면, 외부 검증은 내부자도 할 수 있는것인데 외부에서 검증하는 것이 장점인것처럼 말씀하시는 것도 좀 이상하네요. "단순히 코드를 읽는 게 아니라" 니요... 코드를 못보니 단순히 외부에서만 체크가능하신 거 아닌지...
예시로 들어주신 "내일도가 찾은"보안 문제들 수준도 좀 당황스럽네요. 저런것도 모르는 사람이 대상이라면 또 이해할 수는 있는데 그런 분들이 보안에 애초에 관심이 있을거냐는 문제가 있기도 하고요