[테크수다 기자 도안구 eyeball@techsuda.com] "지속적으로 고도화되는 사이버 위협 환경 속에서, 기업들에게는 더 빠르고 지능적인 대응 체계가 필요하다. 진트(Xint)는 AI를 통해 기존 보안 점검의 한계를 혁신적으로 개선하고, 상시적으로 능동적인 보안 운영이 가능한 환경을 만들어 준다."

박세준 티오리 대표는 국내 최초 AI 해커인 '진트(Xint)'로 국내외 시장 진출을 알리는 기자간담회에서 이렇게 말했다. 그는 해커 출신으로 솔루션과 서비스 시장에서도 꼭 성과를 내보이겠다고 포부를 드러냈다.

오펜시브 사이버보안 전문기업 티오리(대표 박세준)가 28일 삼성동 오크우드 코엑스에서 기자간담회를 열고 국내 최초 AI 해커 '진트(Xint)'를 공식 출시했다. 진트는 세계 최고 수준의 화이트햇 해커들이 축적한 공격 기법을 AI로 학습시켜, 기존 2주 이상 걸리던 보안 점검을 평균 12시간 내로 단축한 것이 특징이다.

최근 국내에서는 공공, 통신, 금융 등 산업 전반에서 대형 해킹 사고가 잇따르며 기업들의 보안 위기감이 고조되고 있다. 하지만 점검해야 할 보안 자산은 급증하는 반면, 전문 인력은 턱없이 부족한 실정이다. 글로벌 조사에 따르면 전 세계적으로 보안 인력의 45%가 부족하며, 국내 기업의 97%가 보안 인력 부족을 호소하고 있다.

박세준 티오리 대표는 "공격자들은 AI를 활용해 초당 수천 건의 공격을 시도하는데, 방어자는 제한된 인력과 느린 점검 프로세스로 대응해야 하는 구조적 모순이 있다"며 "보안을 강화하는 방법을 넘어, 보안 방식 자체를 근본적으로 재정의해야 할 시점"이라고 강조했다.

진트의 가장 큰 차별점은 실제 해커의 공격 방법론을 학습했다는 점이다. 시중 대부분의 보안 툴이 공개 취약점 데이터베이스(CVE)에 의존하는 반면, 진트는 티오리가 지난 10년간 마이크로소프트, 구글, 메타 등 글로벌 기업과 협업한 경험, 국내 다양한 사업 고객들과 협력하며 축적한 실전 공격 기법을 학습했다.

박 대표는 "개발자들이 흔히 실수하는 코드 패턴, 방어 시스템을 우회하는 접근 순서와 논리, 아이디·비밀번호 찾기에서 발생하는 버그 패턴 등 실제 모의해킹 과정에서 얻은 노하우를 학습시켰다"며 "단순히 알려진 문제를 찾는 스캐너를 넘어, 고객 시스템에서만 발생할 수 있는 새로운 공격 시나리오를 해커 관점에서 예측한다"고 설명했다.

두 번째 특징은 비즈니스 로직 이해 능력이다. 단순한 취약점 스캔을 넘어 AI가 사이트의 전체 구조와 서비스의 실행 맥락을 분석해, 기존 솔루션으로는 탐지하기 어려운 비즈니스 로직의 복합적 결함까지 찾아낸다.

배예찬 티오리 수석연구원은 "AI가 실제 사용자처럼 버튼을 클릭하고, 여러 계정으로 동일 자원에 대한 권한을 테스트한다"며 "예를 들어 주문번호 파라미터를 변경해 다른 사용자의 배송정보에 접근하는 IDOR(Insecure Direct Object Reference) 취약점처럼, 서버가 정상 응답을 주지만 실제로는 보안 결함인 경우를 AI가 맥락적으로 판단해낸다"고 말했다.

세 번째는 실용성과 안전성이다. 진트는 SaaS 형태로 제공되어 별도 에이전트 설치나 코드 변경 없이 URL 하나만 입력하면 바로 점검을 시작할 수 있다. 비파괴적 점검을 기본 설계로 채택해 운영 중인 서비스에 영향을 주지 않으며, 필요시 프록시 터널링을 통해 내부망까지 점검할 수 있다.

현재까지 200개 이상 도메인에서 3,000시간 이상 점검을 수행했으며, 서비스 중단이나 성능 저하, 내부 자산 노출 등의 운영 리스크는 단 한 건도 발생하지 않았다.

Xint | AI 해커, 더 빠르고 더 정교하게

비즈니스 로직 결함 탐지, URL 하나로 바로 시작, 혁신적 속도, 합리적 비용

AI 해커, 더 빠르고 더 정교하게

진트는 통상 2주가 소요되던 보안 점검 기간을 평균 12시간 내로 단축했다. 이는 사람 대비 약 30배 빠른 속도다. 대규모 자산 감사에 최적화된 병렬 검사 아키텍처로 여러 웹·API·서비스를 동시에 스캔하며, 각 서비스 내 수백 개 엔드포인트를 점검한다.

특히 발견된 이슈에 대해서는 단순 보고에 그치지 않는다. 각 취약점마다 재현 가능한 PoC(공격 재현 코드)와 기술적 근거를 함께 제공해 담당자가 즉각 원인을 파악하고 대응할 수 있도록 지원한다. 기술적 심각도를 반영한 우선순위도 산정해 한정된 인력으로도 효율적인 대응이 가능하다.

박 대표는 "기존 모의해킹은 사람이 찾은 취약점에만 집중할 수밖에 없어, 기업 담당자들은 '이것도 봤는데 안전했던 건지, 안 봐서 모르는 건지' 궁금해한다"며 "진트는 모든 테스트 시나리오와 검증 결과를 자동으로 기록하는 감사추적성(auditability)을 제공해, 무엇을 점검했고 왜 안전하다고 판단했는지 근거까지 제시한다"고 강조했다.

진트는 공식 출시 전부터 제조, 금융, 전자 등 다양한 산업군에서 PoC를 진행했으며, 이미 여러 기업이 정식 계약을 체결해 운영 환경에서 사용중이다. 도입 기업들의 공통된 피드백은 "한정된 인력으로 모든 자산을 매일 점검하기 어려웠는데, 진트가 리소스 문제를 확실히 보완해준다"는 것이었다.

가격은 동시 스캔 슬롯 개수에 따라 월 단위 구독 모델로 책정된다. 예를 들어 100개 자산을 매일 점검하려면, 하루 10개씩 10일에 걸쳐 순차적으로 돌리거나, 슬롯을 추가 구매해 동시 점검할 수 있다.

보안 기업의 신제품이자 서비스 발표자리였지만 최근 국내 공공과 통신 등 중요 시설 보안 사고로 인해 정부와의 협력 이슈도 주목을 받았다.

최근 발표된 범부처 정보보호 종합대책도 진트에게 기회 요인이다. 전수조사 의무화와 ISMS 모의해킹 강화 방침에 따라, 자동화된 취약점 점검 수요가 급증할 것으로 전망된다.

박 대표는 "정부 시스템만 1,600개 이상인데, 이를 사람이 전수조사하는 것은 현실적으로 불가능하다"며 "진트는 속도와 커버리지뿐 아니라 감사추적성까지 제공해 ISMS 인증 시 실효성을 높일 수 있다"고 설명했다.

티오리는 진트를 플랫폼으로 확장할 계획이다. 현재 웹 애플리케이션과 API를 담당하는 '진트 웹'에 이어, 소스코드 레벨 점검 '진트 코드', 공격 표면 관리(ASM), 내부망 보안(iASM) 등으로 확대할 예정이다.

박세준 대표는 "소프트웨어 개발 전주기(SDLC)에서 보안을 통합하는 SSDLC(Secure SDLC)를 구현하고 싶다"며 "코드 개발 단계부터 배포·운영까지 전 과정에서 보안을 자동화하는 것이 목표"라고 밝혔다.

글로벌 시장 진출도 본격화한다. 2026년부터 북미 시장에 진출할 계획이며, 이미 미국 현지에 제품 개발팀과 세일즈 팀을 구성했다.

티오리는 현재 이런 시장이 아직 절대 강자가 없는 초기 개척 단계라고 보고 있다. 자사가 그동안 마이크로소프트, 구글, 메타와의 협업 경험을 바탕으로 현지 고객들의 어려움을 잘 이해하고 있어, 국내에서의 경험만으로 미국 시장을 노크하는 건 아니라는 입장이다.

특히 같이 창업한 앤드류 웨시(Andrew Wesie)가 미국인이고 CTO를 맡고 있어서 그간 보안 시장에서 활동하던 1세대 보안 기업들과는 서로 다르다는 점도 차별화 요소로 꼽았다.

그는  "지속적으로 고도화되는 사이버 위협 환경 속에서, 기업들에게는 더 빠르고 지능적인 대응 체계가 필요하다"며 "진트는 AI를 통해 기존 보안 점검의 한계를 혁신적으로 개선하고, 상시적이고 능동적인 보안 운영이 가능한 환경을 만들어 줄 것"이라고 강조했다.

다음은 기자들과 일문 일답.

(편집자 주 : 기자들 일문 일답은 녹음 파일을 네이버 클로바노트를 통해 STT로 만들어 다운받은 후 클로드와 ChatGPT를 활용했다.

Q1. 공격적 보안과 방어적 보안의 차이는?

기업들이 겪는 보안 사고를 조사하다 보면 기본적인 것들이 잘 안 되는 경우가 많다. 예를 들어 권한 분리나 인증·인가 체크를 깜빡하는 등 사소한 것들이 놓쳤을 때 보안 사고가 발생한다.

대부분의 공격자들은 복잡한 공격보다는 일단 찔러보고 뚫리는지 확인한 후 안 뚫리면 다음으로 넘어가는 '샤퍼 메서드'를 많이 사용한다. 따라서 기본적인 보안 수준(하이진)이 얼마나 올라와 있느냐가 중요하다.

진트가 해결하려는 것은 국가 배후의 몇 년간 지속되는 APT 공격이 아니라, 공격자들이 쉽고 빠르게 찾아낼 수 있는 취약점을 사전에 지속적으로 관찰하면서 없애는 것이다. 공격자들이 어떻게 공격하는지를 모르면 막기가 어렵기 때문에, 공격자 관점에서의 보안이 새로운 패러다임이 될 것이다.

Q2. 정부의 화이트해커 육성 정책과 버그바운티 제도에 대한 견해는?

질문 :최근 정부가 발표한 범부처 정보보호 종합대책을 보면 화이트해커를 기업 수요에 맞춰 육성하겠다는 방향으로 조정했다. 이것이 어떤 의미로 해석되는지, 맞는 방향인지 궁금하다. 또한 버그바운티가 한국 기업들에게 꺼려졌던 이유와 앞으로 어떤 법적·제도적 근거가 필요한지?

답변 (박세준 대표):보안은 매우 다양한 분야로 세분화되어 있다. 공격적 보안도 필요하고 관제, 포렌식도 필요하다. 단순히 숫자가 아니라 어떤 유형의 보안 전문가들이 얼마나 필요한가에 대한 입체적인 수요 조사가 필요하다.

인재 육성은 하루아침에 이루어질 수 없으며, 투자와 시간, 육성 기회 제공이 모두 필요하다. 이를 키울 수 있는 충분한 멘토가 있는지도 확인해야 한다.

버그바운티에 대해서는, 정보통신망법 제48조 때문에 화이트해커들이 족쇄에 묶여 있다는 표현을 많이 했다. 기업 대 기업 계약을 맺으면 법 보호 아래 할 수 있지만, 화이트해커들을 더 육성하려면 계약 없이도 취약점을 찾고 제보할 수 있는 법적 근거와 장치가 필요하다.

해외에서는 VDP(Vulnerability Disclosure Program, 취약점 제보 프로그램)가 존재하며, 기업과 정부가 자발적으로 운영하고 있다. 취약점을 찾아 기여하려는 의도가 있다면 법적 형사 고발이나 민사 조치를 취하지 않는 '세이프 하버(Safe Harbor)' 제도가 필요하다. 이를 기업과 정부가 지원하면 화이트해커들이 양지로 나와 활동할 수 있을 것이다.

Q3. AI 점검 결과의 신뢰성과 산업별 특화 대응은?

질문 :진트가 AI를 도입해 인력 부족, 점검 속도 등의 문제를 잘 해결하는 것 같다. 하지만 AI 점검 결과의 신뢰성, AI 모델 자체의 보안, 지속적 학습, 산업별 정밀화, 규제 대응 등의 과제가 있을 것 같다. 특히 지속적 학습을 위한 커뮤니티나 위협 인텔리전스와의 연계 계획은? 그리고 금융, 제조, 공공 등 특화된 보안 환경에는 어떻게 대응할 것인가?

답변 (박세준 대표):지속 학습과 오픈소스 정보 활용은 당연히 필요하며, 일부는 파운데이션 모델에서 직접 얻어진다. 다만 다크웹 정보나 OSINT로 알아낸 정보를 직접 활용할 계획은 당장 없다. 저희는 취약점을 찾는 데 집중하고 있다.

웹 환경 외에 산업별 특화와 관련해서는, 오늘 소개한 것은 '진트 웹'이라는 웹 애플리케이션과 API 보안 자동화 영역이다. 내부적으로 준비 중인 '진트 코드'는 소스코드에서 취약점을 발견하는 역할을 한다.

SaaS 형태로 제공하기 어려운 금융권이나 군 등 폐쇄망 환경을 위해서는 온프레미스 모델 지원을 계획하고 있다. AI 없이는 돌아갈 수 없지만, LLM 모델을 클라우드 형태로 쓸지 온프레미스로 쓸지 선택할 수 있게 할 것이다. 최근 온프레미스 모델들도 성능이 좋아지고 있어 기대하고 있다.

Q4. '국내 최초 AI 해커'의 의미와 글로벌 경쟁 구도는?

질문 :'국내 최초 AI 해커'라고 했는데 어떤 면에서 퍼스트인가? 글로벌적으로도 경쟁사가 있는지? 진트와 티오리 해커들을 비교하면 AI 해커가 인간 해커의 몇 % 정도 수준인가? 그리고 데이터 학습 문제에서 고객 데이터는 사용하지 않을 것 같은데, 결국 고객 데이터에서 나와야 품질이 좋아질 텐데 장기 계획은?

답변 (박세준 대표):국내 최초의 의미: 실제로 AI를 활용해 모의해킹을 하는 시도 자체가 국내 최초다. 단순 자동화가 아니라 의사결정부터 취약점 발견까지 사람의 개입 없이 자율적으로(autonomous) 작동하는 해커 영역에서 최초다.

글로벌 관점: 세계 최초라고 하기는 애매하다. RSA 컨퍼런스에서 발표했을 때 미국 팀이 공식 런칭을 먼저 해서, 누가 먼저 작업했는지는 애매하다. 다만 차별성으로 봤을 때 해커들이 만드는 AI 해커 솔루션은 저희가 유일하다. 실제 해킹 경험, 대회 우승, 글로벌 기업 협업 경험을 가진 해커들이 직접 만드는 솔루션은 세계 최초이자 유일하다. 다른 솔루션들은 기존 보안 업체 출신들이 이론적으로 만든 것이다.

AI vs 인간 수준: 오락가락하는 것 같다. ChatGPT처럼 때로는 놀랍고 때로는 바보 같은데, 평균점을 계속 끌어올리고 있다. 티오리 세계 최고 해커와 비교하면 현재 30~40% 정도 수준이다. 하지만 일반적인 모의해킹 펜테스터 수준과 비교하면 이미 주니어 펜테스터 능력은 넘어섰다. 고객 피드백에서도 "기존 컨설팅보다 디테일한 보고서가 나와 좋았다"는 평가를 받았다.

답변 (배혜찬 수석연구원):데이터 학습 문제: AI 학습은 모델 트레이닝뿐 아니라 정보를 어떻게 제공하고 관리하는지까지 포함된다. 티오리가 강점을 가진 이유는 해커들이 컨설팅과 버그바운티를 하면서 쌓은 경험 자체가 학습 데이터가 되기 때문이다.

고객 데이터는 학습에 활용하지 않지만, 버그바운티와 R&D를 통해 최신 취약점이 어떻게 발생하는지 연구하고 있다. 이런 접근 방식과 노하우, 인사이트를 반영할 수 있는 구조로 운영하고 있다.

또한 교육 플랫폼 '드림핵'에 100개 이상의 해킹 문제 세트가 있다. 이는 취약점이 있는 환경과 모범 답안까지 포함된 트레이닝 데이터로, 세계적으로도 몇 개 없는 희귀한 데이터다. Anthropic과 OpenAI에서도 이 데이터를 제공해 달라고 요청할 정도다.

Q5. 글로벌 진출 전략과 AI 모델 선택(머신러닝 vs 생성형 AI) 배경은?

질문 :미국 진출 시 티오리의 차별점은? 그리고 클라우드플레어가 생성형 AI보다 전통적 머신러닝이 보안에 더 유리하다고 했는데, 진트는 왜 생성형 모델을 선택했는가?

답변 (박세준 대표):글로벌 차별성: 기술적으로 세계 최고 해커들의 노하우를 학습시켰다는 점, 문화적으로 마이크로소프트, 구글, 메타 같은 글로벌 기업과 협업한 경험이 있어 그들의 페인포인트를 이해한다는 점이 차별점이다.

현지화 관점에서는 미국에서 아예 개발팀부터 한국과 협업하며 구성하고, 미국 현지화된 세일즈 팀을 따로 꾸리고 있다. 한국에서 만든 기술을 그대로 가져가는 것이 아니라, 미국 팀과 협업해 공통 성과를 낼 계획이다.

답변 (배혜찬 수석연구원):AI 모델 선택: 클라우드플레어 발표는 방어자 입장에서 한 것으로 추정된다. 방어자는 공격 트래픽을 컨트롤할 수 없고 많은 양의 트래픽에 대응해야 해서 레이턴시가 중요하므로 전통적 머신러닝이 유리하다.

하지만 공격자 입장에서는 기술들의 장단점을 이해하고 활용할 수 있는 폭이 더 넓다. 알파고 사례처럼, 바둑은 경우의 수가 많아 AI가 접목할 수 없다고 했지만 AI 모델로 적은 탐색만으로도 효율적인 수를 찾아냈다. 해킹도 마찬가지로 수많은 접근법이 있지만, AI 모델을 활용해 제한된 시간과 비용 안에서 효율적으로 탐색하는 것이 중요하다.

저희는 생성형 모델을 주로 사용하지만, 내부적으로 전통적 머신러닝 기법(클러스터링 등)도 함께 활용해 생성형 모델의 결과를 검증한다. 강화학습을 통해 결과물과 과정을 더 좋게 만들 수 있으며, 전통 ML과 생성형 AI를 융합해 더 좋은 기술을 만드는 연구를 하고 있다.

Q6. 제품 로드맵과 가격 정책은?

질문 :진트가 웹과 API에서 시작해 어디까지 확장할 계획인가? 프론트엔드뿐 아니라 백엔드, 엔드포인트까지 포괄해야 하지 않나? 소스코드 외에 다른 로드맵은? 그리고 SaaS 가격 정책과 서비스 모델은?

답변 (박세준 대표):로드맵: 진트를 플랫폼으로 확장하고 있다. 오늘 소개한 '진트 웹'은 웹 애플리케이션과 API를 담당하고, '진트 코드'는 코드 레벨에서 취약점을 발견한다. 소프트웨어 개발 생명주기(SDLC) 안에서 보안의 SDLC(SSDLC)를 구현하려고 한다.

• 코드 개발 단계: 진트 코드
• 테스팅/배포 환경: 진트 웹
• 운영/관리 단계: ASM(공격 표면 관리), iASM(내부망 보안)

다만 엔드포인트는 당장 계획이 없다. 대신 배포된 시스템의 인프라 보안과 내부망 보안에 집중할 것이다. 제로 트러스트 구현 시 놓친 자산이 없는지, 공격자가 내부망에 들어왔을 때 무엇이 노출되는지 등을 점검하는 iASM을 계획하고 있다. 1년 내 집중할 것은 진트 웹과 진트 코드다.

가격 정책: 북미와 한국은 크게 다르지 않다. 문화 차이는 있다. 국내는 관리자가 모니터링하는 동안 스캔이 돌기를 원해 컨트롤을 중요시하고, 북미는 필요하면 맡기는 식이라 설정의 차이는 있다.

구독형 모델로 제공하며, 일회성은 당장 계획 없고 최소 단위는 월 단위다. 동시에 스캔할 수 있는 슬롯 개수로 가격이 결정된다. 1개, 2개, 3개 티어가 있고, 특정 티어 이상부터는 추가 슬롯을 구매할 수 있어 최대 10개까지 동시 스캔이 가능하다. 예를 들어 1,000개 자산을 매일 돌리려면 하루 10개씩 100일에 걸쳐 순차적으로 돌리거나, 슬롯을 추가 구매하면 된다.

Q7. 정부 정보보호 종합대책과의 시너지, 주요 수요 분야는?

질문 :정부 종합대책에서 ISMS 인증 신뢰성을 높이기 위해 모의해킹 도입을 언급했다. 이것이 기회가 될 수 있는지? 한편으로는 체크박스 하나 더 늘리는 것이라는 논란과 비용 부담에 대한 우려가 있는데, 진트가 실효성과 비용 측면에서 해결책이 될 수 있는지? 그리고 현재 높은 수요 조짐이 있는 분야는?

답변 (박세준 대표):정부 대책과 시너지: 이번 종합대책은 저희에게 타이밍상 큰 기회다. 민간과 공공이 받고 있는 어려움을 실효성 있게 해소할 수 있다고 믿기 때문이다.

전수조사가 말은 쉽지만, 지금 나온 것만 1,600개 이상 시스템인데 더 나올 것이다. 이를 사람이 점검하면 1년 내내 해도 못 끝내고, 끝내더라도 깊이가 얕을 수밖에 없다. 깊이 있고 진짜 전수조사를 하려면 자동화와 기계적 처리가 필수다.

ISMS 모의해킹도 현재는 '했냐 안 했냐' 바이너리 형태로 증빙자료만 첨부하면 끝이다. 하지만 모의해킹은 누가 참여했고 얼마나 했느냐에 따라 품질과 양이 크게 차이 난다.

사람 해커가 모의해킹을 하면 찾아진 취약점에만 집중할 수밖에 없다. 보고서 작성 자체가 공수가 크기 때문이다. 하지만 기업 담당자들이 궁금한 것은 '이것도 봤는데 안전했던 건지, 안 봐서 모르는 건지'다.

진트는 기계적으로 모든 것을 자동 탐색·조회·테스트하고 검증 결과까지 낸다. 취약점뿐 아니라 **감사추적성(auditability)**도 제공한다. 어떤 시나리오를 왜 테스트했고, 결과가 어떻게 나와서 안전하다고 판단했는지 근거까지 작성된다. 담당자는 실제로 커버된 부분과 안 된 부분을 구체적으로 알 수 있어, 모의해킹의 정확도와 깊이, 가시성 확보에 기여한다.

수요 분야: 공교롭게도 PoC 대상이 금융, 제조, 전자 할 것 없이 다양하게 분포되어 있다. 이는 산업을 불문하고 필요한 영역임을 의미한다. 연락 오는 곳들도 균일하게 분포되어 있다.

당연히 IT 자산이 많을수록 수요가 있을 것이다. 예를 들어 OT만 있고 외부 노출 시스템이 없으면 당장 수요가 없지만, 전산화되어 있고 IT 자산이 있는 대부분의 곳은 수요가 있을 것으로 예상한다.

[티오리 소개]

티오리는 2016년 1월 텍사스 오스틴에서 카네기 멜런대 동문인 박세준 대표와 앤드류 웨시 CTO가 공동 창업한 오펜시브 사이버보안 전문기업이다. 2017년 한국 지사를 설립했으며, 세계 최고 수준의 화이트햇 해커들로 구성된 기술진은 DEF CON을 포함한 국제 해킹 방어 대회에서 70회 이상 우승을 차지했다. 현재 회원 7만 명 이상의 사이버보안 교육 플랫폼 '드림핵(Dreamhack)'과 LLM 보안 솔루션 '알파프리즘(αprism)' 등을 운영하고 있다.

[용어 설명]

• CVE(Common Vulnerabilities and Exposures): 공개 취약점 데이터베이스
• IDOR(Insecure Direct Object Reference): 권한 없는 사용자가 URL 파라미터 변경만으로 다른 사용자 정보에 접근할 수 있는 취약점
• PoC(Proof of Concept): 취약점을 실제로 재현할 수 있는 공격 코드
• ASM(Attack Surface Management): 외부 노출 자산을 자동으로 식별·관리하는 보안 기법
• SDLC(Software Development Life Cycle): 소프트웨어 개발 생명주기

[테크수다 기자 도안구 eyeball@techsuda.com]