1600개 시스템 긴급점검의 현실적 과제…'AI 모의해킹' 주목

[이데일리 권하영 기자] 최근 잇따른 해킹 사고로 정부가 공공·금융·통신 등 IT시스템 1600여개 전수조사에 착수하면서 취약점 점검 중요성이 대두되고 있다. 인력을 투입해 일일이 점검하는 방식으로는 규모와 깊이 면에서 한계가 있을 수밖에 없어 중장기적으로 인공지능(AI) 기반 모의해킹 등 자동화된 점검 프로세스가 필요하다는 주장이 나온다.

박세준 티오리 대표가 28일 서울 삼성동 오크우드 코엑스에서 개최된 기자간담회에서 발표하고 있다. (사진=권하영 기자)

화이트햇 해커 중심 사이버보안 기업 티오리가 28일 서울 삼성동 오크우드 코엑스에서 기자간담회를 열고 AI 기반 모의해킹 솔루션 ‘진트(Xint)’ 공식 출시 소식을 알렸다.

이날 박세준 티오리 대표는 “일반적으로 수천 개 시스템을 사람이 검수한다면 1년 내내 해도 모자란 일”이라며 “진정한 전수조사를 위해선 자동화된 취약점 점검 패러다임이 필수”라고 밝혔다.

이날 티오리가 공개한 ‘진트’는 세계적 수준의 화이트햇 해커들이 축적한 공격 시나리오와 방법론을 학습한 ‘AI 해커’가 대규모 자산에 대한 보안 점검을 빠르고 정확하게 수행하는 모의해킹 솔루션이다.

모의해킹은 실제 해커들이 공격하기 전에 먼저 시스템 취약점을 찾아내는 사전예방책으로서 최근 잇따른 해킹 사고를 계기로 정부 차원에서도 강조하고 있는 방법론이다. 과학기술정보통신부 등은 지난 22일 ‘범부처 정보보호 종합대책’ 일환으로 “모의해킹 훈련과 화이트해커를 활용한 상시 취약점 점검 체계를 구축하겠다”고 밝히기도 했다.

그러나 기존 모의해킹 방식은 한계가 명확했다. 외부 업체에 의존하는 점검에 통상 2주에서 수개월이 걸리고, 비용도 수천만 원에서 수억 원에 이른다. 막상 점검 결과가 나올 쯤이면 시스템은 이미 업데이트되고 새로운 코드가 추가돼 보안 공백이 다시 생기는 악순환이 반복된다.

이에 반해 진트는 점검 시간이 12시간 내로, 기존 대비 30배 이상 단축된다. 또한 별도 설치 없이 URL만 입력하면 바로 점검을 시작할 수 있으며, 구독 서비스(SaaS)를 제공해 상시 점검을 적은 비용으로도 실시할 수 있다. 무엇보다 단순 취약점 스캔을 넘어 AI가 전체 구조와 맥락을 분석하고, 각 취약점마다 재현 가능한 공격 코드와 기술적 근거까지 제공한다.

박 대표는 “사람이 모의해킹을 하게 되면 이미 찾은 취약점에만 집중하게 되고, 보고서 작성에도 시간이 많이 뺏긴다”며 “진트는 자동 탐색, 조회, 테스트, 검증 결과까지 내주기 때문에 훨씬 효율적”이라고 설명했다.

이는 현재 정부가 종합대책 일환으로 진행 중인 1600여개 IT 시스템 점검 단계에도 충분히 활용될 수 있다는 게 박 대표의 생각이다. 그는 “범부처 정보보호 종합대책이 발표되며 보안 기업으로서 좋은 기회가 될 것으로 기대한다”며 “모의해킹은 누가 참여했고 얼마나 했냐에 따라 양과 질이 큰 차이를 보이는데, 이를 AI로 일원화해 정확도와 가시성을 높일 필요가 있다”고 강조했다.

“단순 방어 넘어 ‘공격형 보안’이 새 패러다임 될 것”

진트는 전 세계적으로 경쟁자가 사실상 없는 시장을 노리고 있다. 단순 자동화를 넘어 의사결정과 취약점 발굴까지 사람의 개입 없이 자율적으로 작동하는 진정한 의미의 AI 해커는 기존에 없던 영역이라는 설명이다. 박 대표는 “AI를 활용한 모의해킹 자체가 국내에서는 처음”이라며 “글로벌 시장에서도 실전 경험을 가진 해커들이 직접 만든 솔루션은 우리가 유일하다”고 소개했다.

현재 공개된 진트는 웹사이트 애플리케이션에 대한 취약점 점검을 수행하는 ‘진트 웹’이며, 향후 소프트웨어 개발 생명주기(SDLC) 전 과정에 보안을 통합하는 ‘진트 코드’도 확대할 방침이다. 중장기적으로는 기업이 보유한 자산을 자동으로 식별하는 공격표면관리(ASM) 솔루션까지 확대할 계획을 갖고 있다. 특히 SaaS 활용과 망 분리 완화로 인한 제로 트러스트 구현 필요성이 높아지면서, 내부에서 노출되는 자산까지 종합적으로 점검할 수 있는 시스템이 필요하다는 전언이다.

박 대표는 “이미 여러 기업에서 PoC(개념검증) 단계부터 진트를 도입해서 사용하고 있다”며 “미국 출시도 준비 중”이라고 밝혔다.

티오리는 단순 방어자 관점을 넘어 처음부터 공격자 관점에서 해킹 지점을 예측하고 사고를 예방하는 ‘공격형 보안’이 향후 사이버보안의 패러다임이 될 것으로 보고 있다. 박 대표는 “최근 해킹 사고들은 결국 사소한 실수가 보안 문제를 야기한 사례들”이라며 “해커보다 먼저 취약점을 찾아 고쳐내는 공격형 보안이 새로운 패러다임이 되면 티오리에도 큰 기회가 될 것”이라고 말했다.

한편 티오리는 현재 삼성전자·네이버·두나무와 구글·마이크로소프트(MS)·옥타 등 국내외 주요 기업에 보안 컨설팅을 제공하고 있다. 이날 공개한 진트 외에도 사이버보안 교육 플랫폼 ‘드림핵(Dreamhack)’, 대규모언어모델(LLM) 보안 솔루션 ‘알파프리즘(αprism)’ 등을 운영 중이다.