AI 생성 코드의 Compliance 입증을 위한 Evidence Map 기반 자동화 증적 시스템

Context

AI 코딩 도구의 확산으로 코드 생산량은 급증했으나, 규제 준수 여부를 입증하는 과정은 여전히 수동 작업에 의존하는 비효율적 구조임. 기존 SAST 도구는 취약점 발견(Violation)에만 집중하여, 특정 규제 요구사항이 실제 코드의 어느 지점에 구현되었는지 증명하는 Positive Evidence 추출 기능이 부재함.

Technical Solution

• Scanner 모델을 Violation 탐지에서 Evidence Mapping 구조로 전환하여 요구사항 충족 여부를 파일 및 라인 단위로 추적
• Required Pattern 매칭을 통해 특정 규제(HIPAA, SOC 2 등)의 필수 기능 구현 지점을 식별하는 증적 수집 로직 설계
• Violation-free 상태를 역으로 이용해 취약점 부재 자체를 Compliance 증거로 활용하는 검증 메커니즘 도입
• .md, .adoc 등 문서 파일 내 키워드 분석을 통해 프로세스 규정 준수 여부를 코드 저장소 내에서 자동 연결
• 'applies_when' 조건부 트리거를 도입하여 프로젝트 성격(ML 라이브러리 사용 여부 등)에 따른 프레임워크 적용 범위 최적화
• HMAC-SHA256 기반의 Signed Attestation을 통해 특정 시점의 준수 상태에 대한 암호학적 무결성 보장