Skip to content

Hamjoon/garibong-mcp-project

BranchesTags

Repository files navigation

Simple Security Scanner MCP

2025 SKT Claude Code Hackathon 과제 제안서

데모 영상 링크

과제 핵심 아이디어

초보 개발자도 쉽게 이해할 수 있는 보안 취약점 분석 도구를 MCP 서버로 구현하여, Claude Code가 코드 작성 중 실시간으로 보안 이슈를 발견하고 친절한 자연어로 설명 및 수정 방법을 제안하는 개발자 친화적 보안 어시스턴트.

해결하고자 하는 문제 정의

현재의 문제점

  1. 전문가 중심의 보안 도구

    • 기존 보안 스캐닝 도구(SonarQube, Checkmarx 등)는 전문 보안 담당자를 위한 복잡한 리포트 생성
    • 일반 개발자가 이해하기 어려운 전문 용어와 CVE 코드 나열
    • 초보 개발자는 "왜 위험한지", "어떻게 고쳐야 하는지" 이해 불가

  2. 개발 워크플로우 단절

    • 보안 점검이 개발 완료 후 별도 프로세스로 진행
    • 코드 작성 시점에 즉각적인 피드백 부족
    • 수정 비용 증가 및 배포 지연 발생

  3. 교육 기회 부족

    • 보안 취약점을 발견해도 학습으로 연결되지 않음
    • 반복적인 보안 실수 발생

해결 방안

Claude Code와 MCP를 활용하여 개발 중 실시간 보안 가이드를 제공하고, 초보자도 이해 가능한 설명으로 보안 역량을 자연스럽게 향상시킵니다.

구현 접근 방향 및 컨셉

핵심 컨셉: "개발자의 보안 멘토"

전문 보안 도구의 기능을 유지하면서도, Claude의 자연어 처리 능력을 활용해 마치 옆에서 선배 개발자가 코드를 리뷰해주는 것처럼 친절하고 명확한 설명을 제공합니다.

3단계 구현 전략

1단계: MCP 서버 구축

  • Python 기반 MCP SDK 활용
  • 코드 파일 수신 및 분석 파이프라인 구성
  • 결과 반환 인터페이스 설계

2단계: 보안 패턴 탐지 엔진

  • 정규표현식 기반 탐지

    • 하드코딩된 비밀번호, API 키, 토큰
    • 민감한 개인정보 패턴 (주민등록번호, 신용카드 등)

  • 기존 도구 통합

    • bandit: Python 보안 이슈 자동 탐지
    • semgrep: 다중 언어 지원 및 커스텀 규칙

  • 취약점 패턴 라이브러리

    • SQL Injection 위험 코드
    • XSS (Cross-Site Scripting) 패턴
    • 안전하지 않은 역직렬화
    • 경로 탐색 (Path Traversal) 취약점

3단계: Claude 기반 자연어 설명 생성

  • 탐지된 이슈를 구조화된 데이터로 변환
  • 심각도 레벨 자동 분류 (Critical/High/Medium/Low)
  • Claude가 생성하는 설명 포함 항목:
    • 무엇이 문제인지
    • 왜 위험한지 (실제 공격 시나리오)
    • 어떻게 수정하는지 (코드 예제 포함)
    • 추가 참고 자료 링크

4단계: 데모 및 검증

  • 의도적으로 취약한 코드 샘플 작성
  • Claude Code에서 MCP 호출 시연
  • 실시간 스캔 및 설명 생성 확인

사용 기술 스택

Backend (MCP Server)

  • Python 3.11+: MCP 서버 구현
  • MCP SDK for Python: Model Context Protocol 표준 구현
  • FastMCP: 빠른 MCP 서버 개발 프레임워크

Security Analysis Tools

  • bandit: Python 코드 보안 취약점 분석
  • semgrep: 패턴 기반 정적 분석 (다중 언어)
  • regex: 커스텀 보안 패턴 매칭
  • safety: Python 패키지 취약점 데이터베이스 조회

AI Integration

  • Claude Code: 사용자 인터페이스 및 자연어 처리
  • Anthropic Claude API: 고급 설명 생성 (옵션)

Development Tools

  • pytest: 단위 테스트 및 통합 테스트
  • black: 코드 포매팅
  • ruff: 린팅
  • mypy: 타입 체킹

Claude Code 및 MCP 활용 포인트

1. MCP 프로토콜의 핵심 가치 활용

Tools 기능

{
  "name": "scan_security",
  "description": "코드의 보안 취약점을 스캔하고 초보자 친화적인 설명 제공",
  "inputSchema": {
    "type": "object",
    "properties": {
      "code": {"type": "string"},
      "language": {"type": "string"},
      "severity_threshold": {"type": "string"}
    }
  }
}

Resources 기능

  • 조직별 보안 가이드라인을 MCP Resource로 제공
  • SKT 코딩 표준, 보안 정책을 동적으로 로드

2. Claude Code의 자연어 처리 능력

  • 기술적 보안 리포트를 개발자 수준에 맞춘 설명으로 변환
  • 질문 기반 학습: "이 코드는 왜 위험한가요?" → 상세 설명 생성
  • 컨텍스트 이해: 프로젝트 전체 구조를 고려한 보안 조언

3. 실시간 개발 워크플로우 통합

개발자 → 코드 작성 → Claude Code → MCP 호출 → 보안 스캔 →
즉시 피드백 → 수정 → 학습 → 안전한 코드 완성

4. 확장 가능한 아키텍처

  • 커스텀 보안 규칙을 MCP 설정으로 추가
  • 조직별 특화 규칙 (예: SKT 내부 API 사용 가이드)
  • 새로운 언어/프레임워크 지원 확장 용이

타깃 고객사 및 시너지 포인트

🔵 SK Telecom - 내부 개발팀 보안 강화

Pain Point

  • 대규모 개발 조직 내 보안 역량 편차
  • 통신사 특성상 높은 보안 요구사항 (개인정보보호법, 정보통신망법)
  • 레거시 코드와 신규 서비스 간 보안 정책 일관성 유지 어려움

시너지 포인트

  • SKT 코딩 가이드 통합: SKT 내부 보안 정책을 MCP Resource로 제공
  • 통신사 특화 규칙: 전화번호, IMEI 등 통신 관련 민감정보 패턴 추가
  • 대규모 조직 교육: 수천 명의 개발자에게 자동화된 보안 멘토링 제공
  • 레거시 코드 현대화: 기존 코드베이스 스캔 및 개선 가이드

예상 효과

  • 신입 개발자 보안 교육 시간 50% 단축
  • 코드 리뷰 단계 보안 이슈 발견율 70% 감소
  • 배포 전 보안 테스트 통과율 향상

🟣 Anthropic - Claude Code 킬러 유즈케이스

Pain Point

  • Claude Code의 실용적 활용 사례 필요
  • MCP 생태계 초기 단계, 레퍼런스 앱 부족
  • 개발자 도구 시장에서의 차별화 요소 필요

시너지 포인트

  • MCP 베스트 프랙티스 사례: 실용적인 MCP 서버 구현 예제 제공
  • Claude의 강점 부각: 기술 문서를 자연어로 변환하는 능력 시연
  • 개발자 경험 향상: IDE 통합 수준의 실시간 보안 피드백
  • 교육 플랫폼: 코딩 + 보안 학습을 동시에 제공하는 도구

예상 효과

  • Claude Code 사용 사례 증가 (보안 도구 카테고리 개척)
  • MCP 서버 개발자 커뮤니티 성장
  • 엔터프라이즈 고객 유치 (보안 요구사항 충족)

🟢 Coxwave - 생성형 AI 플랫폼 통합

Pain Point

  • LLM 기반 서비스의 품질 관리 및 모니터링
  • AI 제품 개발 시 보안 취약점 검증 필요
  • AI 컨설팅 프로젝트에서 코드 품질/보안 자동화 도구 부재

시너지 포인트

  • Align AI 플랫폼 확장: 대화형 AI 분석에 보안 스캐닝 기능 추가

    • LLM 출력 품질 분석 + 생성 코드의 보안 검증을 통합 제공
    • AI가 생성한 코드의 실시간 보안 검증 기능

  • AX Consulting 서비스 강화: LLM/AI 컨설팅에 보안 레이어 추가

    • 고객사에 제공하는 AI 솔루션에 자동 보안 검증 포함
    • End-to-End 서비스에 보안 분석 단계 통합

  • 생성형 AI 기술 시너지: Coxwave의 LLM 전문성 활용

    • 더 정교한 보안 설명 생성 (다국어, 기술 수준별 맞춤형)
    • AI 기반 보안 패턴 학습 및 자동 업데이트

  • 제품 포트폴리오 확장: 새로운 AI 개발자 도구 카테고리 진출

    • Hama(이미지 편집)와 함께 개발자 생산성 도구 라인업 구축

예상 효과

  • Align AI 사용자에게 코드 보안 검증 기능 제공하여 플랫폼 가치 향상
  • AI 컨설팅 프로젝트 차별화 (보안이 내재된 AI 솔루션 제공)
  • LLM 생성 코드의 신뢰성 향상으로 생성형 AI 도입 확대 기여
  • Coxwave의 AI 기술과 보안 도구의 융합으로 새로운 시장 창출

차별화 요소

vs. 기존 보안 도구 (SonarQube, Snyk, Checkmarx)

구분 기존 도구 Simple Security Scanner MCP
타겟 사용자 보안 전문가 모든 개발자
리포트 스타일 CVE 코드, 기술 리포트 자연어 설명, 학습 가이드
통합 방식 CI/CD 파이프라인 IDE 내부 실시간
학습 곡선 높음 (전문 교육 필요) 낮음 (사용하며 학습)
커스터마이징 복잡한 설정 파일 MCP 기반 간단 확장
비용 엔터프라이즈 라이선스 오픈소스 기반

핵심 차별점

  1. 교육적 접근: 단순 탐지가 아닌 "왜/어떻게" 설명
  2. 개발 경험 우선: 워크플로우 방해 없이 자연스러운 통합
  3. 확장성: 조직별 규칙을 쉽게 추가 가능한 MCP 아키텍처
  4. 접근성: 보안 전문가 없이도 효과적 활용 가능

구현 (예상) 타임라인

순서 작업 내용
1단계 MCP 서버 기본 구조 구현, Tools 정의
2단계 보안 스캐너 구현 (regex + bandit + semgrep)
3단계 결과 포매팅 및 Claude 통합, 자연어 설명 생성
4단계 데모 샘플 작성 및 최종 테스트

기대 효과

개발자

  • 코딩하면서 보안 지식 자연스럽게 습득
  • 보안 이슈 조기 발견으로 수정 비용 절감
  • 안전한 코드 작성 습관 형성

조직

  • 개발팀 전체의 보안 역량 상향 평준화
  • 보안 취약점으로 인한 사고 예방
  • 컴플라이언스 요구사항 충족 용이

생태계

  • MCP 프로토콜의 실용적 활용 사례 제시
  • 개발 도구와 AI의 새로운 통합 방식 제안
  • 오픈소스 보안 도구 커뮤니티 기여

라이선스

MIT License

개발자

Team Garibong 2025 SKT Claude Code Hackathon

About

My MCP project for 2025 SKT Claude Code Hackathon

Resources

Readme
Activity

Stars

3 stars

Watchers

0 watching

Forks

0 forks
Report repository

Releases

No releases published

Packages

No packages published

Languages