Arm이 자사 제품 보안팀이 개발한 에이전틱 AI(자율 실행형 인공지능) 보안 프레임워크 ‘Metis’를 오픈소스로 공개했다. Metis는 RAG(검색 증강 생성) 아키텍처와 LLM(대규모 언어 모델)을 결합해 대규모 코드베이스 전반에 걸친 복잡한 보안 취약점을 자동으로 탐지한다. Arm 내부 벤치마크 기준으로 기존 SAST(정적 애플리케이션 보안 테스팅) 도구 대비 정탐률을 최대 10배 높이고, 오탐은 약 50% 줄이는 성과를 기록했다고 Arm 측은 밝혔다.
Metis는 고정된 규칙과 패턴 매칭에 의존하는 기존 정적 분석 도구와 달리, 소스코드·빌드 파일·문서를 바탕으로 프로젝트별 지식 베이스를 구성한다. 이를 통해 단일 컴포넌트가 아닌 여러 함수와 시스템 계층에 걸친 복합 취약점을 탐지할 수 있으며, 전체 저장소·개별 파일·풀 리퀘스트·최근 코드 변경 등 다양한 단위로 분석을 수행한다. Arm 내부 배포에서는 OpenAI Daybreak를 통해 제공되는 GPT-5.5-Cyber 모델을 활용하며, C, C++, Python, Rust 등 다수의 프로그래밍 언어를 지원한다. Metis는 취약점 여부뿐 아니라 해당 문제가 왜 중요한지에 대한 명확한 설명과 조치 방향도 함께 제공해 개발자의 대응 속도를 높인다.
Arm은 이미 내부 130개 이상의 소프트웨어 프로젝트에 Metis를 배포해 운영하고 있으며, 2026년 말까지 Arm 전사적으로 적용을 확대할 계획이다. 오탐 감소는 단순한 편의 개선을 넘어, 엔지니어링팀이 실제 위험에 집중할 수 있도록 자동화 도구에 대한 신뢰를 높이는 효과를 가져온다고 Arm은 설명했다. 현재 Metis의 기능 확장도 진행 중으로, 하드웨어 기술 언어인 Verilog 지원이 추가됐으며 파트너사들과 협력해 하드웨어 취약점 검증 자동화 영역으로도 범위를 넓히고 있다.
보안 취약점 탐지를 소프트웨어 개발 초기 단계로 당기는 것은 제조·반도체 업계의 오랜 과제다. 삼성전자·SK하이닉스·현대차 등 C 및 C++ 기반 임베디드 펌웨어 코드를 대규모로 보유한 한국 기업 입장에서 Metis는 검토해 볼 만한 도구다. 코드와 문서는 GitHub에서 직접 확인할 수 있으며, 적용에 앞서 적용 라이선스와 사용 조건을 살펴봐야 한다. AI 기반 코드 보안 도구가 전통적인 정적 분석의 성능 한계를 내부 벤치마크 데이터로 뛰어넘기 시작했다는 점에서, Metis의 공개는 소프트웨어 보안 검증 방식이 전환점을 맞이하고 있음을 보여준다.
