Earticle

초록

한국어

본 연구는 웹 애플리케이션의 보안 취약점을 효율적으로 점검하기 위한 코드 생성 AI 활용 방법론을 제시한다. 기존 의 수동 점검 방식은 많은 시간과 인력이 소요되며, 사람의 실수로 인해 일부 취약점이 누락될 가능성이 있다. 또한, 기존의 자동화 도구는 정형화된 공격 패턴을 탐지하는 데에는 효과적이지만, 새로운 유형의 취약점이나 복잡한 맥락 을 고려한 보안 점검에는 한계가 존재한다. 이를 해결하기 위해, 본 연구에서는 코드 생성 AI를 활용한 자동화된 취 약점 점검 시스템을 개발하고, 이를 실제 환경에서 검증하였다. 제안된 시스템은 자연어로 작성된 보안 검사 요청을 실행 가능한 코드로 변환하여 점검을 수행하며, 기존의 정적 분석 및 동적 분석 기법과 결합하여 보다 정밀한 취약 점 탐지가 가능하도록 설계되었다. 실험 결과, 제안된 방법론은 기존의 수동 점검 대비 점검 시간을 약 40% 단축시 키고, 인력 비용을 절감하는 효과를 보였다. 또한, 표준화된 프로세스를 통해 일관성 있는 테스트 수행이 가능하여 보안 점검의 신뢰성을 높일 수 있었다. 특히, 코드 생성 AI가 기존 코드 패턴을 학습하고 새로운 보안 점검 시나리 오에 적용할 수 있기 때문에, 반복적인 취약점 점검 작업이 자동화되면서 개발자와 보안 전문가의 부담을 줄이는 데 기여하였다. 그러나, 복잡한 비즈니스 로직이나 특정 도메인에 특화된 보안 취약점의 경우, 여전히 전문가의 수동 점검이 필요하다는 한계가 있다. AI 모델이 훈련되지 않은 새로운 유형의 취약점이나 논리적 오류를 탐지하는 데 어 려움을 겪을 수 있기 때문이다. 따라서, 본 연구에서 제안한 코드 생성 AI 기반 자동화 점검 시스템은 보안 전문가 의 작업을 보조하는 도구로 활용될 수 있으며, 향후 AI 모델의 학습 데이터 확장과 정밀도를 높이는 연구가 추가적 으로 필요할 것이다.

영어

This study proposes a methodology for using code-generation AI to efficiently detect security vulnerabilities in web applications. Manual assessments are time-consuming and prone to human error, while existing automated tools struggle with detecting new or context-specific vulnerabilities. To address these challenges, we developed an AI-powered system that converts natural language security requests into executable code and integrates static and dynamic analysis techniques for improved accuracy and efficiency.Experimental results showed that the proposed system reduced assessment time by 40% and significantly lowered labor costs while ensuring standardized and consistent security testing. By learning existing code patterns, the AI automates repetitive security checks, reducing the workload for developers and security professionals. However, complex business logic and domain-specific vulnerabilities still require expert review, as AI may struggle with detecting novel threats or logical flaws. Therefore, this system is best used as a complementary tool rather than a replacement. Future improvements should focus on expanding code generation AI training data and enhancing detection capabilities.

목차

요약
Abstract
1. 서론
2. 관련연구
2.1 코드 생성 AI의 개념 및 특징
2.2 웹 취약점의 유형과 특성
3. 기존 웹 점검 자동 도구
3.1 웹 스캐너 기반 점검 도구
3.2 RPA 기반 점검
3.3 비교 분석 결과
3.4 새로운 웹 취약점 점검 방법의 제안
4. 코드 생성 AI를 활용한 취약점 점검 방법
4.1 취약점 점검용 코드 생성 전략과 실험 제한 사항
4.2 생성된 코드의 품질 검증
5. 코드 생성 AI를 이용한 취약점 점검
5.1 커서 편집기(Cursor AI)
5.2 컨티뉴(CONTINUE: Visual Studio Code Extension)
5.3 활용 방안 도출
6. 결론
참고문헌

저자

• 박영식 [ YeongSik Pak | 보안정보기술 ]
• 윤종필 [ JongPil Youn | 숭실대학교 IT정책경영학과 ]
• 현선진 [ Sunjin Hyun | 숭실대학교 IT정책경영학과 ]
• 임종태 [ Jongtae Ihm | 국립한밭대학교 자율전공학부 ] 교신저자

참고문헌