엔도어 랩스, AI 코드 보안 도구 ‘AURI’ 공개…AI 생성 코드 10%만 안전

AURI 출시 배경: AI 코딩 확산과 보안 공백

엔도어 랩스는 실시간 보안 인텔리전스를 AI 코딩 도구에 직접 연결하는 플랫폼 AURI를 공개했다. 개발팀의 90%가 AI 코딩 어시스턴트를 쓰는 가운데, 주요 대학 연구는 기능적으로 맞는 코드가 61%에 그치고 그중 10%만 안전하다고 밝혔다. 과거 오픈소스에서 학습한 모델이 모범 사례와 함께 취약한 패턴도 답습한다는 구조적 문제가 드러났고, AURI는 이 간극을 줄이기 위해 설계됐다.

AURI의 핵심: 코드 컨텍스트 그래프와 도달성 분석

AURI는 애플리케이션의 자체 코드, 오픈소스 의존성, 컨테이너 레이어, AI 모델까지 함수 단위로 연결 관계를 그리는 ‘코드 컨텍스트 그래프’를 제공한다. 단순히 취약 라이브러리 여부만 보는 것이 아니라 실제 호출 라인까지 추적해 도달 가능한 취약점만 남기는 접근이다. 예를 들어 거대한 AWS SDK를 가져와도 10줄만 호출한다면, 나머지 9만9천 줄의 취약점 경고는 과감히 제거된다. 이 분석은 다중 파일 호출 그래프와 데이터 흐름 분석, 결정론적 엔진과 에이전틱 AI의 결합으로 구현되며, 기업 고객의 보안 경고를 평균 80~95% 줄여 개발자 생산성 손실을 크게 낮춘다.

개발자 무료·엔터프라이즈 유료: 배포와 프라이버시

AURI는 MCP 서버를 통해 VS Code, Cursor, Windsurf 등 인기 IDE와 네이티브 통합되며, 개인 개발자에게 무료로 제공된다. 코드는 로컬에서만 스캔되고 엔도어 랩스 서버로 전송되지 않으며, 비기밀 취약성 인텔리전스만 원격으로 가져온다. 엔터프라이즈 버전은 정책·맞춤화·RBAC·CI/CD 연계를 제공하고, 로컬 스캔·에페메럴 컨테이너·온프레미스 쿠버네티스 등 유연한 배포 옵션을 지원한다. Cursor 보안팀은 “이전 도구의 97% 경고가 애플리케이션에 도달하지 않았다”며 AURI가 영향도 높은 소수 취약점만 보여 신속 패치가 가능해졌다고 평가했다.

생성 도구와 분리된 보안: 독립성·재현성·검증 가능성

엔도어 랩스는 코드를 생성하는 도구와 이를 검토하는 보안 도구는 분리돼야 한다는 원칙을 강조한다. AURI는 LLM의 추론·설명 능력을 활용하되, 결정론적 분석으로 결과의 일관성과 증거 기반 검증을 보장한다. 또한 업그레이드 경로를 시뮫레이션해 깨지지 않는 수정안을 제시하고, 개발자나 AI 에이전트가 신뢰하고 적용할 수 있도록 지원한다. 이는 순수 LLM 기반의 비결정론적 접근을 보완하는 방향이다.

실전 성과와 성장: 제로데이 탐지에서 대형 고객 확장까지

2026년 2월 AURI는 인기 에이전틱 AI 어시스턴트 OpenClaw에서 7개의 취약점을 찾아냈고, 이 중 6개가 패치됐다(SSRF, 경로 조작, 인증 우회 등). NPM 생태계의 악성 캠페인(예: Shai-Hulud)도 포착해 추적 중이다. 회사는 2025년 4월 DFJ Growth 등이 참여한 9,300만 달러 시리즈 B를 유치했으며, 연간 반복 매출 30배 성장과 166% 순매출 유지율을 보고했다. 현재 500만 개 이상의 애플리케이션을 보호하고 주당 100만 건 넘는 스캔을 수행하며, 고객에는 OpenAI, Cursor, Dropbox, Atlassian, Snowflake, Robinhood 등이 포함된다. FedRAMP, NIST, 유럽 사이버 복원력 법 등 규제 대응 가속화에도 활용된다.

전망: 자율 에이전트 시대, 보안의 속도 맞추기

클라우드 초기의 우려와 마찬가지로, AI 에이전트 도입은 위험을 수반하지만 회피보다는 제어 가능한 보안을 갖추는 방향으로 갈 것이라는 전망이 우세하다. 올바른 지시와 인텔리전스를 제공하면, 에이전트는 취약점 수정을 지연 없이 실행할 수 있다. AURI는 이러한 흐름 속에서 개발 흐름의 ‘바로 그 자리’에서 보안을 결정론적으로 검증해, 사람이 검토하기 전에 기계가 만든 코드를 기계가 안전하게 다듬도록 돕는 것을 목표로 한다.