반도체 설계 기업 Arm이 AI 기반 보안 취약점 탐지 프레임워크 ‘메티스(Metis)’를 아파치(Apache) 2.0 라이선스로 오픈소스 공개했다. Metis는 소프트웨어 코드베이스를 분석해 복잡한 취약점을 자율적으로 탐지하는 에이전틱 AI 시스템으로, 기존의 패턴 매칭 방식인 SAST(정적 애플리케이션 보안 테스트) 도구와 달리 의미론적 추론을 통해 여러 함수·라이브러리에 걸친 보안 문제를 식별한다. Arm의 발표에 따르면 Metis는 기존 정적 분석 도구 대비 오탐률(false positive)을 약 50% 줄이고, 실제 취약점을 정확히 찾아내는 비율(true positive rate)을 최대 10배까지 높인다.
기술적으로 Metis는 RAG(검색 증강 생성) 방식을 활용해 소스 코드·빌드 파일·문서에서 추출한 프로젝트 고유 맥락으로 기반 LLM(대규모 언어 모델)을 보강한다. 이를 통해 전체 저장소, 개별 파일, 풀 리퀘스트, 최근 코드 변경 사항을 모두 분석할 수 있다. Arm이 GPT-5.5-Cyber 모델을 기반으로 진행한 내부 벤치마크에서 Metis는 취약점 식별 정확도 98%를 기록했으며, 이는 기존 SAST 도구의 6%와 대조된다. 또한 Metis는 취약점을 탐지하는 데 그치지 않고, 개발자가 이해하고 즉시 조치할 수 있도록 자연어로 명확한 설명을 함께 제공한다. C·C++·Python·Go·TypeScript·Rust 등 주요 언어를 지원하며, 플러그인 구조로 언어·모델·커스텀 프롬프트를 손쉽게 확장할 수 있다.
Arm은 현재 사내 130개 이상의 소프트웨어 프로젝트에 Metis를 적용 중이며, 향후 소프트웨어 취약점뿐 아니라 하드웨어 취약점 검증으로 기능을 확장할 계획이라고 밝혔다. Metis는 올라마(Ollama)와 vLLM 배포 방식을 모두 지원해 로컬 GPU 환경에서도 실행이 가능하다. AI 에이전트가 점점 복잡한 코드베이스에 접근하는 상황에서, 기존 룰 기반 보안 도구가 잡아내지 못하는 취약점을 LLM이 의미론적으로 분석하는 방식은 소프트웨어 공급망 보안의 새로운 접근으로 주목받고 있다.
