문제 (Problem)

AI 코딩 도구(Copilot, Claude, Cursor)가 생성한 코드에 특유의 보안 취약점 패턴이 반복 등장합니다:

  • Veracode 조사: AI 생성 코드 샘플의 45%가 보안 테스트 실패
  • GitHub Copilot 사용 레포의 6.4%가 시크릿 유출 (비사용 대비 40% 높음)
  • 2025년 6월 기준 AI 코드 보안 발견 건수 월 10,000건 이상 (10배 증가)
  • 기존 SAST 스캐너(Snyk, Semgrep)는 AI 생성 코드 특유의 패턴을 인식 못함

Pain Point 강도: 9/10 - 측정 가능하고, 비용이 크며, 계속 악화되는 문제

시장 (Market)

  • 1차 시장: AI 코딩 어시스턴트를 프로덕션에 사용하는 엔지니어링 팀
  • 세그먼트: CI/CD 파이프라인에서 보안 스캔을 수행하는 팀
  • TAM: 애플리케이션 보안 테스트(AST) 시장 $3.73B → $8.37B (2033), 9.4% CAGR
  • SAM: AI 보안 스타트업 2025년 $6.34B 투자 유치 (전년 대비 3배)
  • M&A 신호: ServiceNow이 2025년에만 보안 인수에 $11.6B 지출

솔루션 (Solution)

AI Code CVE Pattern Detector - AI 생성 코드 특화 취약점 스캐너 + AI 도구 귀속 추적

핵심 기능

  1. AI 코드 패턴 탐지: LLM이 반복 생성하는 취약점 패턴(하드코딩 시크릿, 불완전 인증 등) 전용 규칙
  2. AI 도구 귀속: 어떤 AI 어시스턴트(Copilot vs Claude vs Cursor)가 취약점을 도입했는지 추적
  3. 컨텍스트 인식 수정: 원본 AI 프롬프트 맥락을 고려한 수정 제안
  4. CI/CD 통합: GitHub Action, GitLab CI 네이티브 통합

사용 시나리오

# CI/CD 파이프라인에 추가
- name: AI Code CVE Scan
  uses: ai-cve-detect/action@v1
  with:
    scan-mode: ai-patterns
    track-attribution: true

# 결과 예시
┌──────────────────────────────────────────────────┐
│ AI Code CVE Scan Report                          │
├──────────────────────────────────────────────────┤
│ 🔴 HIGH: Hardcoded API key in auth.ts:42         │
│    Source: GitHub Copilot (87% confidence)        │
│    Pattern: AI-HARDCODED-SECRET-001               │
│    Fix: Use environment variable injection        │
│                                                   │
│ 🟡 MED: Incomplete input validation in api.ts:18 │
│    Source: Claude (72% confidence)                │
│    Pattern: AI-MISSING-VALIDATION-003             │
│    Fix: Add Zod schema validation                 │
└──────────────────────────────────────────────────┘

경쟁 (Competition)

경쟁사가격약점
Snyk$52/dev/월AI 도구 귀속 추적 없음, 범용 SAST
Semgrep$40/dev/월규칙 작성 부담, AI 특화 아님
ZeroPath미공개AI 네이티브이나 귀속 추적 없음
Veracode$15,000+/년엔터프라이즈 전용, 소규모 팀 부적합
Aikido Security무료 티어 있음범용, AI 코드 패턴 미특화

경쟁 강도: High - Snyk/Semgrep이 기존 시장 장악, 기능 추가 가능 차별점: AI 도구 귀속 추적 + AI 생성 코드 특화 패턴 라이브러리

MVP 개발 (MVP)

  • MVP 기간: 9주
  • 풀 버전: 8개월
  • 기술 복잡도: Medium-High
  • 필요 스택: Node.js/Python (스캔 엔진), React (대시보드), Docker, GitHub Actions

MVP 범위

  1. JavaScript/TypeScript 대상 AI 코드 패턴 규칙 20개
  2. GitHub Action CI 통합 (PR 코멘트)
  3. 기본 귀속 추적 (git blame + AI 코멘트 패턴)
  4. 수정 제안 (텍스트 기반)

수익 모델 (Revenue)

  • 모델: Subscription (per-repo)
  • 가격:
    • Starter: $49/repo/월 (5 레포, 기본 규칙)
    • Team: $199/월 (20 레포, 귀속 대시보드, 팀 분석)
    • Enterprise: 커스텀 (SSO, 감사 로그, API)
  • 예상 MRR (6개월): $3,000-8,000
  • 예상 MRR (12개월): $12,000-30,000

리스크 (Risk)

유형수준대응
기술MediumAI 귀속 정확도 → git blame + 코드 패턴 휴리스틱 조합
시장HighSnyk/Semgrep이 AI 귀속 기능 빠르게 추가 가능 → 12-18개월 내 선점 필요
실행High규칙 라이브러리 지속 유지보수 + 거짓양성 관리 부담

추천 (Recommendation)

점수: 85/100 ⭐⭐⭐⭐

추천 이유

  1. 가장 큰 시장 ($8.37B) + 폭발적 투자 ($6.34B in 2025)
  2. 45% AI 코드 보안 실패율 → 측정 가능한 명확한 문제
  3. AI 도구 귀속은 현존하는 어떤 도구에도 없는 차별점
  4. 보안 도구는 컴플라이언스 기반 구매 → 높은 유지율

리스크 요인

  1. 보안 도메인 전문성 부재가 실행 리스크
  2. Snyk/Semgrep이 더 빠르게 기능 추가 가능
  3. 거짓양성 관리가 지속적 운영 부담

첫 번째 액션

  1. Semgrep 규칙 형식으로 AI 코드 특화 패턴 10개 PoC 작성
  2. 오픈소스 레포에서 Copilot 생성 코드의 취약점 패턴 데이터 수집
  3. GitHub Action으로 PR 코멘트 MVP 배포

이 아이디어는 “AI ships your code but can’t fix the CVEs it creates” 토론에서 영감을 받아, AI 생성 코드의 고유한 취약점 패턴과 AI 도구 귀속 추적이라는 차별화된 접근을 제안합니다.