핵심 요약
토스가 MCP 기반 소스코드 인덱싱 서버와 멀티에이전트 분석 파이프라인을 구축해 대용량 코드에서도 취약점 분석의 일관성과 효율을 높였고, 286개 경로 중 144개를 선별해 27개의 취약점을 발견했습니다.
구현 방법
- MCP 서버로 find_references/read_definition/read_source/get_project_structure를 통합 구축
- SAST와 SARIF를 활용해 모든 입력 경로를 다이어트하고 JSONL로 전달, 연속 라인 병합으로 토큰 효율화
- 멀티에이전트: Supervisor/Discovery/Analysis로 경로 선별 및 분석 수행
- 모델 선정/관측: LangSmith로 비용-안정성 모니터링, Qwen3:30B 채택
- 응답 포맷 보정: Pydantic으로 검증, Instructor로 포맷 보정
주요 결과
- 286개 경로 중 144개 선별, 선별 경로에서 27개 취약점 발견
- 경로 최적화를 통해 토큰 및 분석 시간 절감
- Open Model 도입 및 MCP 기반으로 확장성 확보
- 모델 선택과 observability로 안정적인 운영 체계 마련
