Vercel기술 블로그engineering
deepsec 출시: 코드베이스 취약점을 찾아내는 AI 보안 테스트 도구
오늘 deepsec을 오픈소스로 공개합니다. 직접 보유한 인프라 위에서, 본인의 키로, 본인의 코드를 검사하는 AI 보안 테스트 도구입니다.
오늘 코딩 에이전트 기반의 보안 테스트 도구 deepsec를 오픈소스로 공개합니다. 자체 인프라에서 실행되며, 대규모 코드베이스에서 발견하기 어려운 취약점을 찾아냅니다.
deepsec는 클라우드 서비스를 별도로 구성하지 않아도 로컬 환경에서 바로 실행할 수 있습니다. 추론에는 기존 Claude 또는 Codex 구독을 그대로 활용할 수 있어 추가 설정이 필요 없습니다.
대규모 저장소를 스캔하면 단일 머신에서 며칠이 걸리기도 합니다. 이를 병렬로 처리하기 위해 deepsec는 Vercel Sandboxes를 통한 원격 실행 팬아웃을 선택적으로 지원합니다. Vercel 코드베이스 스캔 시에는 1,000개 이상의 샌드박스를 동시에 띄우는 경우도 흔합니다.
아키텍처
deepsec의 핵심은 claude와 codex을 활용해 코드베이스를 정밀하게 조사하는 데 있습니다. Opus 4.7은 최대 노력 모드로, GPT 5.5는 xhigh 추론 설정으로 사용합니다.
스캔은 보안에 민감한 파일을 식별하는 정적 분석으로 시작되고, 이후 코딩 에이전트가 각 후보 파일을 조사하며 데이터 흐름을 추적하고 완화 조치를 확인한 뒤, 심각도 등급이 포함된 실행 가능한 결과를 생성합니다. 전체 워크플로는 다음과 같습니다.
스캔: 이후 단계에서 집중 분석할 보안 민감 영역을 찾기 위해 모든 파일을 정규식으로만 스캔합니다.
조사: 스캔에서 식별된 각 파일을 에이전트가 심층 조사합니다.
재검증: 두 번째 에이전트가 조사 결과를 검토해 오탐을 제거하고 심각도를 재분류합니다.
보강: 조사가 완료되면 에이전트가 git 메타데이터 및 기타 선택적 서비스를 활용해 각 이슈의 수정 담당자를 특정합니다.
내보내기:
export명령은 결과물을 사람과 코딩 에이전트 모두가 티켓으로 전환할 수 있는 형태로 포맷합니다.
프로덕션 코드에 deepsec 적용하기
deepsec는 자체 모노레포와 고객 코드베이스 모두에서 높은 실용성을 입증했습니다. 개발 과정에서 Vercel 고객사 및 파트너의 여러 오픈소스 저장소를 대상으로 deepsec을 직접 실행해 보았습니다.
예를 들어, deepsec으로 dub.co의 오픈소스 버전을 스캔했습니다. Dub은 SaaS로도 제공되는 오픈소스 링크 어트리뷰션 플랫폼입니다. 인증 기반 접근, 데이터베이스 연동, 다수의 백엔드 서비스 운영 등 광범위한 보안 공격 면을 갖추고 있습니다. deepsec의 결과를 창업자 Steven Tey와 공유하자 그는 이렇게 답했습니다.
Vercel 자체 모노레포를 스캔했을 때, deepsec는 인증 조건 내 미묘한 엣지 케이스를 발견했고, 이를 계기로 코드 내 모든 인증 경로를 커버하는 커스텀 스캐너 플러그인을 자체 개발하게 되었습니다.
오탐과 최적 활용법
deepsec의 결과 중 일부는 오탐일 수 있습니다. 경험상 오탐률은 약 10~20% 수준입니다. 자체 연구에서 진탐이 가져온 실질적 효과를 고려하면 충분히 납득할 수 있는 수준이며, revalidate 단계를 통해 에이전트가 결과를 추가로 검증해 오탐을 줄이도록 설계했습니다.
deepsec는 애플리케이션과 서비스에 가장 적합합니다. 라이브러리나 프레임워크에도 적용할 수 있지만, 그 경우 커스텀 프롬프트와 스캐너가 필요할 가능성이 높습니다.
커스터마이징과 플러그인
deepsec는 코드베이스에 맞게 조정할 수 있는 플러그인 시스템을 제공합니다. 가장 많이 활용되는 플러그인은 커스텀 스캐너로, 인증 모델·데이터 레이어·팀 컨벤션에 맞게 튜닝된 정규식 매처입니다. 초기 스캔 결과를 바탕으로 코딩 에이전트와 함께 deepsec를 사용해 해당 매처를 작성하는 방법을 권장합니다.
특수한 "사이버 모델"이 필요한가요?
Anthropic과 OpenAI는 기본 모델이 거부하는 보안 작업을 수행할 수 있도록 파인튜닝된 "사이버" 모델을 별도로 제공합니다. deepsec는 이러한 모델과도 호환되지만, 일반 모델만으로도 완전히 동작합니다.
deepsec는 각 연구 단계 이후 작업 거부 여부를 확인하는 분류기를 내장하고 있습니다. deepsec이 사용하는 프롬프트 기준으로, Opus 4.7과 GPT 5.5 모두에서 거부 문제는 실질적으로 발생하지 않았습니다.
시작하기
저장소 루트에서 npx deepsec init를 실행하면 시작할 수 있습니다. 시스템 설정과 deepsec 조사 카탈로그 저장에 사용되는 ./.deepsec 디렉토리가 생성됩니다. 이후에는 명령어 출력 안내를 따르면 됩니다. 전체 문서는 GitHub 문서에서 확인하세요.
피드백 환영
deepsec를 광범위하게 활용해왔지만 아직 초기 개발 단계입니다. GitHub를 통한 피드백과 기여를 환영합니다.