반도체 설계 기업 Arm이 에이전틱(agentic) AI 기술을 적용해 대규모 코드베이스의 복잡한 보안 취약점을 자율적으로 탐지하는 프레임워크 ‘Metis’를 아파치(Apache) 2.0 라이선스로 오픈소스 공개했다. Arm 내부 벤치마크에서 GPT-5.5-Cyber를 기본 모델로 활용한 Metis는 98%의 취약점 탐지 정확도를 달성했다. 이는 기존 정적 애플리케이션 보안 테스트(SAST, Static Application Security Testing) 도구의 6%와 비교해 약 10배 높은 수준이다.
Metis는 패턴 매칭과 고정 규칙 기반의 기존 SAST 도구와 달리 검색 증강 생성(RAG, Retrieval-Augmented Generation) 방식을 활용한다. 소스 코드, 빌드 파일, 문서에서 프로젝트별 컨텍스트를 추출해 대규모 언어 모델(LLM)의 분석 정밀도를 높이는 방식이다. 이를 통해 단일 함수 경계를 넘는 다중 컴포넌트 간 의존성을 추적하고, 기존 도구가 놓치는 복잡한 취약점을 포착한다. 탐지 결과를 자연어로 설명하는 기능도 갖춰 개발자가 문제를 이해하고 빠르게 수정할 수 있도록 지원한다. Arm은 Metis가 기존 SAST 도구 대비 오탐률(false positive)을 약 50% 줄인다고 밝혔다. 오탐이 줄면 개발팀이 실제로 중요한 보안 이슈에 집중하는 시간이 늘어 취약점 수정 속도가 빨라진다.
Metis는 OpenAI API와 호환되는 모든 LLM과 연동 가능하며, C·C++·파이썬·Go·타입스크립트·러스트 등 다양한 프로그래밍 언어를 지원한다. 플러그인 기반 아키텍처로 언어·모델·커스텀 프롬프트 확장이 용이하고, 올라마(Ollama)·vLLM 기반 온프레미스 배포도 지원해 기업 내부 환경에도 적용 가능하다. 기존 SAST 도구와 함께 운영하며 해당 도구의 결과를 교차 검증하는 용도로도 활용할 수 있다. 현재 Arm 내부에서는 130개 이상의 소프트웨어 프로젝트를 Metis로 모니터링하고 있다.
Arm은 현재 릴리스가 소프트웨어 시스템 취약점에 초점을 두고 있으며, 향후 하드웨어 취약점 검증 기능으로 범위를 확장할 계획이라고 밝혔다. GitHub에 코드가 공개된 Metis는 AI를 활용한 보안 자동화에 관심 있는 개발팀과 보안 연구자 모두에게 즉시 활용 가능한 실용적 도구로 평가된다.
