AI Agent 시대의 보안 플랫폼

AI가 만든 코드,
AI가 쓰는 도구.

코드부터 MCP 서버까지, AI가 만들고 AI가 쓰는 모든 것을 보호합니다.SAST · SCA · Secret · DAST · MCP Agent 보안을 한 곳에서 운영합니다.

대시보드 시작 →MCP 스캐너 실행

1회 점검 ₩19,000부터 · 5분 안에 첫 점검

Pie Nest가 운영하는 자체 자산에서 매주 점검하며 Papurion을 검증합니다.

The Problem

2026년, 보안은 따라가고 있나요?

AI가 코드를 쓰고, MCP로 도구를 연결하는 시대입니다.
기존 도구는 둘 다 보지 못합니다.

AI가 쓴 코드, 검증 없이 머지

Copilot · Cursor · Claude Code가 만들어내는 코드량은 폭증했지만, 보안 검증은 사람 한 명의 PR 리뷰 속도에 묶여 있습니다.

Papurion이 Semgrep + AI 분류로 머지 전에 점검합니다.

MCP 서버, 새로운 공격 표면

온라인에 노출된 MCP 서버 8,000여 개, 그중 상당수가 인증 없는 HTTP로 운영 중입니다. AI 도구의 모든 권한이 그 설정 파일 한 줄에 달려 있습니다.

papurion-mcp-scan이 IDE 설정을 즉시 점검합니다.

기존 도구는 AI 설정을 못 본다

Semgrep · SAST는 .ts와 .py만 봅니다. mcp.json, claude_desktop_config.json, .cursor/mcp.json 안의 시크릿 · 권한 폭주는 점검 대상이 아닙니다.

Papurion은 코드와 AI 도구 설정을 동시에 봅니다.

Capabilities

코드 · 인프라 · AI 도구를 한 번에.

6개의 검증된 스캐너와 AI 분류, MCP Agent 보안까지 — 분리된 도구를 묶어 하나의 운영 흐름으로 만듭니다.

SAST + SCA + Secret

Semgrep으로 코드 정적 분석, OSV-Scanner · Trivy · npm-audit으로 의존성 CVE, TruffleHog로 git history 시크릿까지 — 한 번의 스캔으로 전수 점검합니다.

DAST (Nuclei)

Nuclei 기반 동적 점검으로 웹 엔드포인트의 실제 노출 면을 확인합니다. 외부에서 보이는 위험을 외부 시점으로 검증합니다.

MCP Agent 보안

AI 코딩 도구의 MCP 서버 설정을 자동 점검합니다. Claude Code · Cursor · VS Code · Windsurf 설정을 탐색하여 시크릿 노출 · 권한 과다 · 프롬프트 인젝션 등 6개 위협을 검출합니다.

AI 분류 + 자동 수정

Claude Opus + Sonnet 멀티 모델이 발견 항목을 P0~P3로 분류하고 한국어 권장 조치를 작성합니다. 검증 가능한 항목은 Claude가 직접 수정 PR을 생성합니다 (Pro+).

Delta 추적

fingerprint 기반으로 재점검마다 신규 · 지속 · 해결 · 재발생을 자동 분류합니다. 같은 발견을 두 번 보고하지 않고, 다시 나타나면 reopened로 즉시 알립니다.

컴플라이언스 매핑

ISMS-P 7개 통제 (2.5.4 / 2.6.1 / 2.7.1·2 / 2.8.1 / 2.10.2 / 2.12.1) 와 SOC 2 6개 통제 (CC6.1·6·7 / CC7.1·2 / CC8.1) 에 발견 항목을 자동 매핑한 인쇄형 리포트를 발행합니다.

★ NEW

한 줄로 끝나는 MCP 보안 점검

AI 코딩 도구가 사용하는 MCP 서버는 새로운 공격 표면입니다.
npx papurion-mcp-scan — 설치 없이 한 줄로 머신 전체를 점검합니다.

papurion-mcp-scan
$ npx papurion-mcp-scan
🐉 Papurion MCP Security Scanner v0.1.0
📍 Scanning MCP configurations...
   ✓ [Claude Code] ~/.claude.json (3 servers)
   ✓ [Cursor]      ~/.cursor/mcp.json (2 servers)
═══════════════════════════════════════════════
 5 MCP servers found · 4 issues detected
═══════════════════════════════════════════════
🔴 CRITICAL — filesystem-root (Claude Code)
   🔴 Filesystem root (/) granted  @ args[2]
🔴 CRITICAL — github-typo (Cursor)
   🔴 GitHub PAT hardcoded  @ env.GITHUB_TOKEN (ghp_****23)
   🟠 Typosquat of @modelcontextprotocol/server-github
🟠 HIGH — remote-http (Cursor)
   🟠 HTTP (unencrypted) MCP endpoint
───────────────────────────────────────────────
 Summary: 2 critical · 1 high · 1 medium · 0 low

외부 네트워크 호출 없음. 시크릿 값은 앞 4자 + **** + 뒤 2자만 미리보기.

지원 IDE

  • Claude Code
  • Claude Desktop
  • Cursor
  • VS Code
  • Windsurf

출력 & CI

  • · JSON · SARIF 출력 (GitHub Code Scanning 호환)
  • · --fail-on high 로 CI 게이트
  • · 조직 allowlist (Shadow MCP 차단)
  • · STDIO 라이브 프로브 (옵트인)
GitHub에서 보기 →

6개 검출기

secret-exposure

시크릿 노출

하드코딩된 API 키 · 토큰 · DB 연결 문자열 · 고엔트로피 시크릿

permission-audit

권한 감사

루트 · 홈 · Docker 소켓 · SSH 키 · sudo · rm -rf 허용

prompt-injection

프롬프트 인젝션

도구 설명 · env · args에 숨은 지시문 · 제로폭 · base64 우회

tool-poisoning

Tool Poisoning

@modelcontextprotocol/* 공식 패키지와의 Levenshtein 유사 typosquat

transport-security

전송 보안

HTTP 미암호화 · 0.0.0.0 바인딩 · 인증 헤더 누락 · dev 포트

shadow-mcp

Shadow MCP

조직 allowlist에 없는 비인가 MCP 서버 (--allowlist 시)

Workflow

등록부터 리포트까지, 한 흐름.

01

자산 등록

GitHub repo · 웹 URL을 등록합니다. 점검 범위(SAST · SCA · Secret · DAST)를 자산별로 지정합니다.

5분, 최초 1회

02

스캐너 실행

Semgrep · OSV-Scanner · Trivy · TruffleHog · npm-audit · Nuclei 6종이 격리 컨테이너에서 동시 실행됩니다.

3-5분

03

AI 분류

Claude Opus + Sonnet 멀티 모델이 P0~P3로 분류하고 한국어 권장 조치를 작성합니다. 검증된 시크릿은 자동 P0.

30초

04

Delta 추적

fingerprint로 신규 · 지속 · 해결 · 재발생을 자동 분류합니다. 같은 발견은 두 번 보고하지 않습니다.

즉시

05

알림 & 자동 수정

Slack · 이메일로 알리고, Pro 이상에서는 Claude가 직접 수정 PR을 GitHub에 엽니다. 머지는 사람이 합니다.

즉시 · 수분

06

컴플라이언스 리포트

ISMS-P · SOC 2 통제에 자동 매핑된 인쇄형 리포트를 받습니다. 인증 심사 증적으로 활용됩니다.

클릭 1회

Pricing

단순한 요금, 명확한 한도.

스캔 수와 자산 수로만 구분됩니다. 숨은 제한 없음.

Starter

₩49,000

/ 월 (VAT 별도)

정기 점검의 시작.

  • 자산 5개
  • 월 50회 스캔
  • Free의 모든 기능 +
  • DAST (Nuclei)
  • Slack 알림
  • Delta 추적
Starter 시작

Slack · 이메일 알림 포함.

권장

Pro

₩199,000

/ 월 (VAT 별도)

AI 분석과 자동 수정까지.

  • 자산 50개
  • 월 500회 스캔
  • Starter의 모든 기능 +
  • Claude 자동 수정 PR
  • ISMS-P · SOC 2 컴플라이언스 리포트
  • 주 1회 자동 스케줄 점검
  • API Key (X-API-Key)
Pro 시작

P0/P1 응답 SLO 24시간.

Enterprise

₩990,000

/ 월 (VAT 별도)

조직 단위 운영.

  • 무제한 자산 · 무제한 스캔
  • Pro의 모든 기능 +
  • 전담 매니저
  • MSA · NDA · DPA · RoE 서면 체결
  • 인증 심사 동석 (ISMS-P · SOC 2)
  • 맞춤 리포트 양식
영업팀 문의

맞춤 SLA · 전담 응답 채널.

단건 결제

단건 점검 (1회성 결제)

정기 구독 없이 필요할 때만 점검.

단건 결제

1회 점검

₩19,000

/ 1회 (VAT 별도)

1개 자산 단발 점검.

  • 자산 1개
  • 스캔 1회
  • SAST · SCA · Secret · DAST
  • 한국어 AI 분류 리포트
  • 결제 후 30일 이내 사용
1회 결제
단건 결제

5회 점검 팩

₩79,000

/ 5회 (VAT 별도)

5회분 점검권 — 30일 유효.

  • 자산 5개까지
  • 스캔 5회
  • SAST · SCA · Secret · DAST
  • Delta 추적 (재점검 비교)
  • 한국어 AI 분류 리포트
  • 결제 후 30일 이내 사용
5회 팩 결제

단건 결제 — 정기 청구 없음. 결제 후 30일 이내 사용. VAT 별도.

전체 요금 · 기능 비교 보기 →
Stack

검증된 오픈소스 위에, AI를 더했습니다.

자체 시그니처가 아닌 업계 표준 도구를 사용합니다. 발견 항목은 출처를 그대로 보존하고, AI는 분류와 수정을 돕습니다.

스캐너

  • Semgrep

    SAST 정적 분석

  • OSV-Scanner

    SCA 의존성 CVE

  • Trivy

    SCA · 컨테이너

  • TruffleHog

    Secret · git history

  • npm-audit

    npm 의존성 감사

  • Nuclei

    DAST 동적 점검

AI 모델

  • Claude Opus 4.7

    AI 분류 · 자동 수정 PR

  • Claude Sonnet 4.6

    AI 보조 분석

연동

  • Slack

    알림 webhook

  • GitHub

    PAT · 자동 수정 PR

  • GitHub Actions

    MCP 스캐너 CI 게이트

  • API Key

    X-API-Key · 외부 트리거

지금 시작하세요.

대시보드에서 바로 시작하세요. 기업용 도입은 영업팀에 문의해 주세요.

대시보드 시작 →영업팀 문의

contact@papurion.com · 영업일 24시간 이내 답장