Anthropic 소스 맵 유출 사례로 본 AI 시대의 새로운 보안 위협과 대응 도구

Context

프로덕션 번들에 JavaScript 소스 맵 파일이 포함되어 내부 소스 코드와 아키텍처 구조가 노출되는 사고 발생. AI 코딩 에이전트의 빠른 코드 생성 및 배포 속도가 인간의 보안 검토 속도를 초과하는 구조적 결함 노출. 기존 CI 파이프라인에서 비정형 아티팩트 검증 단계가 누락된 보안 공백 확인.

Technical Solution

• 배포 전 디렉터리를 스캔하여 소스 맵, .env, 비밀키 등 금지 아티팩트 발견 시 배포를 중단시키는 tenter 스캐너 도입
• Rust 기반의 정적 바이너리(tenter-rs) 구현으로 런타임 의존성 제거 및 컨테이너 환경 내 실행 효율성 확보
• 포크된 에이전트 프레임워크의 업스트림 비교를 통해 가드레일, 유효성 검사 등 안전 장치 제거 여부를 탐지하는 unshear 설계
• ChromaDB, SQLite 등 에이전트 메모리 저장소를 스캔하여 명령 삽입 패턴 및 권한 상승 시도를 탐지하는 ratine 메커니즘 적용
• LLM 생성 코드 특유의 패턴을 분석하여 코드 출처 투명성을 확보하고 공급망 리스크를 평가하는 crocking 도구 개발
• Model Context Protocol(MCP) 기반의 메시 네트워크 런타임인 heddle을 통해 YAML 설정 기반의 결정론적 계약 강제 및 신뢰 계층(T1~T4) 제어 구조 구축

Key Takeaway

AI 에이전트가 자율적으로 코드를 생성하고 배포하는 환경에서는 전통적인 인간 중심의 리뷰 프로세스가 아닌, 아티팩트 레벨의 자동화된 검증 체계가 필수적임.