무슨 일이 있었나
Semgrep의 2026년 4월 AppSec 플랫폼 업데이트는 Insecure Direct Object Reference (IDOR) 및 broken authorisation을 포함한 복잡한 취약점 클래스에 대한 AI 기반 감지를 베타로 도입했습니다. 이는 역사적으로 규칙 기반 정적 분석에 저항해온 범주들입니다. 이번 업데이트는 또한 개발자 AI 환경(Cursor, Claude Code)과의 직접 통합을 추가하여 실시간 스캔을 가능하게 하며, AI 기능 사용을 신용 한도와 연결하고 가시성 제어를 제공합니다.
왜 중요한가
AI 기반 코드 생성은 프로덕션에 도달하는 코드의 양을 급격히 증가시켰으며, Semgrep의 AI 감지 기능은 기존 SAST가 AI 생성 출력을 따라잡기 어려운 보안 도구 격차를 해결합니다. 거버넌스 계층(신용 한도, AI 기능 제어)은 AppSec 워크플로 내에서 통제되지 않는 AI 도구에 대한 엔터프라이즈의 우려에 대응합니다.
적용 범위
Semgrep을 사용하는 엔지니어링 주도 보안팀 및 DevSecOps 조직은 IDOR 및 인증 취약점 백로그에 대해 베타 AI 감지 기능을 평가해야 하며, 개발을 위해 Cursor 또는 Claude Code를 사용하는 조직은 AI 보조 코딩 워크플로에서 실시간 스캔을 활성화하기 위해 통합 테스트를 우선순위로 두어야 합니다.