워크플로 내의 보안: 취약점 처리를 위한 역할 기반 에이전트 아키텍처 탐색

실무에서의 보안 소프트웨어 공학 (Secure software engineering)은 취약점 분석 (vulnerability analysis), 수정 (remediation), 그리고 수정 검증 (fix verification)을 포함하는 다단계 워크플로 (workflow)입니다. 그러나 현재의 LLM 기반 소프트웨어 보안 접근 방식은 탐지 (detection) 또는 패치 생성 (patch generation)과 같은 고립된 작업에 집중하는 경우가 많으며, 산업적 워크플로를 반영하는 에이전트 아키텍처 (agentic architectures)에는 주의를 거의 기울이지 않습니다. 이는 기존의 LLM 기반 취약점 처리 방법과 실제 실무 사이에 간극을 만듭니다. 본 논문에서 우리는 Planner, Analyzer, Fixer, Verifier 역할로 구성된 취약점 분석 및 완화를 위한 역할 기반 에이전트 워크플로 (role-based agentic workflow)를 연구합니다. 정적 분석 도구 (static analysis tool)의 효과를 탐색하기 위해, 워크플로 중 하나에서 Analyzer 에이전트를 CodeQL과 통합하였습니다. 사용된 모델에는 nemotron-cascade-2:30b, qwen3-coder-next, 그리고 gpt-oss:120b가 포함됩니다. 우리의 평가는 25개의 실제 C/C++ 취약점을 사용합니다. 연구 결과, GPT 5.5와 유사한 44%의 취약점 탐지 정확도와 19%의 수정 정확도를 보고합니다. 또한 우리는 소프트웨어 보안 실무자들의 관점에서 본 연구의 시사점을 나열합니다.