Dropbox 보안팀이 설계 단계 위협 모델과 실제 코드 리뷰 사이의 단절을 해결하기 위해 MCP(Model Context Protocol), LLM, Dash를 결합한 자동화 시스템을 구축했다. 구현 PR의 12%만이 원래 보안 설계 문서를 명시적으로 참조하고, 54%는 설계 리뷰 후 한 달 이상 뒤에 열린다는 분석에서 출발했다.
핵심 포인트- 위협 모델과 구현 PR의 연결 고리가 끊어지는 design-to-code 갭을 Dash 시맨틱 검색으로 자동 브리징, 설계 리뷰의 80% 매칭
- 그 중 69%는 명시적 참조가 없어 시맨틱 검색으로만 연결 가능했던 케이스
- MCP 서버가 인덱싱된 설계 문서를 별도 통합 없이 AI 에이전트에 노출, LLM이 위협 모델과 코드를 동시에 추론해 누락 보안 통제·설계 모순 탐지
- 코드 리뷰 워크플로우에 직접 통합 — 별도 보안 프로세스를 만들지 않고 기존 흐름에 주입
- 대부분 발견 사항을 advisory(비차단)로 처리, 서피싱 전 실제 코드 대비 검증 원칙
상세 정리- 문제 정의: 위협 모델링은 개발 전 완료되지만 구현 단계에서 원래 보안 요구사항이 워크플로우에서 보이지 않게 됨
- 데이터 분석: PR의 12%만 설계 리뷰를 명시적으로 링크, 54%는 보안 리뷰 후 한 달 이상 뒤 개설, 중간값 지연 약 5주
- 레트로스펙티브 이슈: 설계 리뷰의 약 15%가 사후 제출 — 보안 민감 작업이 초기 식별 단계에서 누락됐음을 시사
- 기존 도구 한계: 정적 분석은 보안 통제의 존재 여부는 확인하지만 문서화된 요구사항과의 일치 여부는 검증 불가
- 아키텍처: Dash(시맨틱 검색) + MCP 서버(인덱싱된 설계 문서 노출) + 파운데이션 LLM(위협 모델+코드 동시 추론) 3계층
- Dash 매칭 성과: 설계 리뷰 80% 연관 코드 변경 매칭, 69%는 명시적 참조 없어 시맨틱 검색 없이는 연결 불가
- 발견 사례: 위협 모델 없이는 보이지 않던 누락 보안 통제·설계 모순 발견, 단순한 요구사항이 개발 진행 중 구현과 단절된 보안 사고 사례 확인
- 설계 원칙: 발견 사항 서피싱 전 실제 코드 대비 검증, 특정 요구사항으로의 트레이서빌리티 확보, 대부분 advisory 처리(blocking X)
- 확장 적용: 보안 외 프라이버시팀(데이터 분류 요구사항), 플랫폼팀(API 계약), 컴플라이언스팀(규제 요구사항)에 동일 패턴 적용 가능
왜 읽나MCP와 LLM을 활용해 보안 설계 문서와 코드 구현을 자동 연결하는 시스템을 구축하려는 보안 엔지니어·플랫폼 개발자에게 실전 아키텍처 레퍼런스.