“기존의 수동 코드 리뷰 방식으로는 AI가 만들어내는 코드 규모를 따라갈 수 없다. AI를 통해 더 빠르게 개발하는 동시에, 정적 분석으로 안전성을 확보해야 한다”

지난 13일 서울 양재 엘타워 그레이스홀에서 MDS 인텔리전스가 주최한 ‘Automotive & Future Mobility SW Conference 2026’에서 Perforce Software의 Steve Howard 디렉터가 ‘AIDLC(AI Development Lifecycle)와 차세대 정적 분석 기술이 이끄는 모빌리티 SW의 진화’를 주제로 키노트 발표를 통해 소프트웨어 정의 차량, 즉 SDV(Software Defined Vehicle) 시대에 AI 기반 개발이 본격화되면서 자동차 소프트웨어 개발 생명주기와 안전·보안 검증 체계가 어떻게 변화해야 하는지를 집중적으로 다뤘다.

Steve Howard 디렉터는 먼저 현재 SDV 개발 환경이 “순조롭지만은 않다”고 진단했다.

Steve Howard 디렉터에 따르면 파편화된 툴체인, 증가하는 시스템 의존성, 높아지는 사이버보안 요구사항이 엔지니어링 워크플로 전반에 마찰을 만들고 있으며, 애플리케이션과 기술 복잡성이 자동차 프로젝트 지연의 주요 원인으로 부상하고 있다고 분석했다.

그는 이 같은 상황에서 AI가 개발 속도를 높이는 대안이 될 수 있지만, 동시에 안전성과 보안 리스크를 함께 확대할 수 있다는 점을 지적했다.

발표의 핵심 키워드는 AIDLC, AI 개발 생명주기였다.

기존 SDLC(Software Development Lifecycle)가 사람 중심의 코딩, 리뷰, 테스트, 배포 절차를 기반으로 했다면, AIDLC(AI Development Lifecycle)는 AI가 코드 작성과 수정, 결함 보완 과정에 참여하는 새로운 개발 흐름을 전제로 한다.

Steve Howard 디렉터는 Stack Overflow 2025 개발자 설문을 인용해 개발자의 84%가 AI 도구를 사용하거나 사용할 계획이며, 전문 개발자의 51%가 이미 매일 AI를 활용하고 있다고 소개했다.

AI 기반 소프트웨어 개발은 더 이상 미래 전망이 아니라 현재의 주류 개발 방식이 됐다는 설명이다.

반면에 높은 활용도와 별개로 신뢰 문제는 여전히 크다.

같은 조사에서 AI 출력물을 신뢰하는 개발자보다 불신하는 개발자가 더 많았고, AI 생성 코드를 매우 신뢰한다고 답한 비율은 약 3%에 그쳤다.

Steve Howard 디렉터는 AI가 문맥을 제대로 이해하지 못하면 엉뚱한 결과를 만들 수 있다는 점을 예로 들며, 자동차 소프트웨어처럼 안전성과 보안이 중요한 영역에서는 AI에게 충분한 맥락을 제공하는 것이 핵심이라고 강조했다.

자동차 업계의 우려도 명확하다.

Perforce가 2026년 3월 발표한 자동차 개발 현황 조사에서 AI 활용에 따른 주요 우려 항목 중 최상위는 안전과 보안이었다.

특히 안전 항목에서는 응답자의 98%가 일정 수준 이상의 우려를 보였고, 절반 이상은 가장 높은 수준의 우려를 나타냈다고 발표자는 설명했다.

AI가 더 많은 코드를 생성할수록 코드 규모와 변경 속도는 커지고, 그만큼 취약점과 결함을 검증해야 하는 부담도 함께 증가한다는 것이다.

이와 관련해 Steve Howard 디렉터는 AI가 현실 세계의 공개 코드에서 학습하는 만큼 기존 코드에 존재하는 보안 취약 패턴을 반복할 수 있다고 지적했다.

발표에서는 GitHub Copilot을 대상으로 한 초기 연구에서 CWE 중심 과제의 약 40%에서 취약한 출력이 확인됐다는 사례도 소개됐다.

그는 AI 모델이 발전하며 성능은 개선되고 있지만, 낮은 결함 발생률이라도 AI 개발 규모가 커지면 실제 산업 현장에서는 큰 리스크가 될 수 있다고 설명했다.

규제와 표준도 빠르게 변화하고 있다.

Steve Howard 디렉터는 NIST Secure AI Development SP 800-218A, OWASP Top 10 for LLM Applications, ISO/IEC TR 5469, ISO/PAS 8800 등을 AI 시대의 안전·보안 거버넌스 사례로 제시했다.

특히 ISO/DPAS 8800은 도로 차량의 안전과 인공지능을 다루는 표준으로, 기존 ISO 26262를 AI 시스템까지 확장하고 SOTIF 개념과 지침을 반영해 설계 및 운용 단계에서 반복적으로 위험을 낮추는 접근을 제안한다고 설명했다.

이 대목에서 차세대 정적 분석 기술의 중요성이 부각된다.

Steve Howard 디렉터는 AI가 확률적으로 코드를 생성하는 시대일수록, 정적 분석은 결정론적 검증 수단으로 더 중요해진다고 강조했다.

정적 분석은 프로그램을 실행하지 않고, 소스코드를 단계에서 미리 점검해 오류와 취약점을 찾아내는 기술이다.

쉽게 말해, 제품을 출시하기 전에 불량 여부를 검사하는 ‘품질 검사 장치’와 같은 역할을 한다.

정적 분석은 사람이 작성한 코드와 AI가 작성한 코드를 동일하게 분석할 수 있으며, 안전하고 규정을 준수하는 패턴을 강제하고, CI/CD 자동화와 결합해 대규모 개발 환경에서도 확장 가능하다는 점이 장점으로 제시됐다.

다만 결함을 찾아내는 것만으로는 충분하지 않다.

AI가 생성하는 코드가 늘어날수록 발견된 이슈를 사람이 일일이 수정하는 방식은 한계에 부딪힌다.

발표에서는 정적 분석으로 결함을 탐지한 뒤, AI가 수정안을 제안하고, 변경 사항을 다시 분석해 문제가 해결됐는지 확인하며, 최종적으로 개발자가 승인하는 ‘AI 보조 개선 워크플로’가 제시됐다.

이 방식은 AI를 활용하되 정적 분석 결과에 기반한 가드레일을 두고, 인간의 최종 승인 절차를 유지한다는 점에서 자동차 기능 안전 프로세스와도 맞닿아 있다.

Steve Howard 디렉터는 이 같은 흐름을 자사 QAC와 Klocwork 기반 정적 분석 도구와 연결해 설명했다.

발표에서는 Visual Studio Code 안에서 QAC가 탐지한 이슈 정보를 GitHub Copilot에 맥락으로 전달해 수정 정확도를 높이는 사례가 소개됐다.

또한 정적 분석 메시지만 제공할 때보다 전체 추적 정보와 분석 맥락을 함께 제공할 경우 AI 수정 정확도가 크게 높아질 수 있다는 연구 결과도 언급됐다.

이는 단순한 AI 코드 생성이 아니라, 정적 분석 데이터와 결합한 맥락 기반 AI 개발이 차세대 모빌리티 소프트웨어 품질 확보의 핵심이 될 수 있음을 보여준다.

발표 후반부에서는 MCP 기반 AI 보조 개선과 에이전틱 워크플로도 제시됐다.

Perforce는 2026년 1분기 MCP 서버를 기반으로 분석 도구와 AI 에이전트를 연결하는 플러그인 방식을 출시했다.

Steve Howard 디렉터는 2026년 4분기에 정적 분석 도구가 규정 준수 요구 정의, 스캔, 결과 수집, 분류, 수정, 재분석까지 이어지는 에이전트 기반 워크플로의 일부가 될 것으로 전망했다.

궁극적으로는 안전, 보안, 라이선스 준수 등 다양한 요구사항을 중앙 대시보드에서 통합적으로 관리하는 방향이 제시됐다.

Steve Howard 디렉터는 결론적으로 AI가 개발 속도와 혁신을 가속화하겠지만, 그 속도가 곧 리스크 증가로 이어져서는 안 된다고 강조했다.

AI 개발 생명주기인 AIDLC의 핵심은 AI를 무조건 도입하는 것이 아니라, 정적 분석과 자동화된 재검증, 개발자 승인 절차를 결합해 안전하고 신뢰할 수 있는 소프트웨어 개발 체계를 만드는 데 있다.

SDV와 자율주행, 차세대 모빌리티 소프트웨어 경쟁이 본격화되는 가운데, AI와 차세대 정적 분석의 결합은 자동차 소프트웨어 품질, 기능 안전, 사이버보안, 개발 생산성을 동시에 확보하기 위한 핵심 전략으로 부상하고 있다.