티오리, 인간 해커 복제한 AI 해커 ‘진트’ 공개
보안 점검 속도 30배↑·링크 하나로 취약점 점검…북미 시장 공략 등 글로벌 확장 박차
오펜시브(공격형) 사이버보안 전문기업 티오리한국(대표 박세준)이 인공지능(AI) 기반 공격형 보안 플랫폼, AI 해커 ‘진트(Xint)’를 공개했다.
박세준 티오리 대표는 28일 서울 삼성동 오크우드 코엑스에서 기자간담회를 열고 “보안을 강화하는 차원을 넘어, 보안을 수행하는 방식을 새롭게 정의해야 할 시점”이라며 “진트는 최고의 해커가 가진 사고방식과 방법론을 AI로 복제한 시스템”이라고 소개했다.
티오리는 매년 급증하는 보안 자산과 점검 비용, 그리고 인력난을 진트가 해결할 수 있다고 설명했다. 소프트웨어 업데이트나 신규 서비스 도입 때마다 보안 자산은 폭증하지만, 이를 점검할 전문가가 턱없이 부족하다는 것이다. 기존 점검은 평균 10~16주가 소요되고 순차적·수동적 절차로 진행돼 대응 속도에 한계가 있었다.
박 대표는 “이제는 사람이 아닌 AI가 반복적이고 방대한 보안 점검을 수행해야 한다”며 “진트는 해커의 사고를 그대로 구현해 한 번 학습한 공격 시나리오를 연속적으로 재현하고 응용할 수 있다”고 강조했다.
진트는 기존 보안 툴과 달리 취약점 목록(CVE) 기반이 아닌 공격의 원리와 방법론을 학습한다. 공개되지 않은 제로데이 공격이나 비정형적 서비스 구조에서도 공격자의 관점에서 취약점을 예측한다는 점이 핵심이다.
박 대표는 “기존 솔루션이 룰 기반 탐지에 머물렀다면, 진트는 서비스의 로직을 이해하고 공격 시나리오를 스스로 조합한다”며 “이제는 공격이 일어날 수 있는 가능성 자체를 먼저 찾아내야 한다”고 말했다.
URL만 넣으면 점검 시작, AI 웹 에이전트가 ‘사람처럼’ 탐색
진트는 ‘서비스형 소프트웨어(SaaS)’ 형태로 제공되며, 사용자는 URL 하나만 입력하면 바로 점검을 시작할 수 있다. 별도의 설치나 코드 변경이 필요 없고 ‘비파괴적 점검’ 구조를 통해 실제 서비스 운영에 영향을 주지 않는다.
배일찬 티오리 수석연구원은 “진트의 AI 웹 에이전트는 단순한 크롤러가 아니라 실제 사용자처럼 로그인하고 페이지를 이동하며 입력 폼과 결제 흐름을 분석한다”고 설명했다. 이 과정을 통해 AI는 서비스의 규칙과 실행 구조를 학습하고 위반 행위도 찾아낸다.
예를 들어, 쇼핑몰의 주문정보가 사용자 인증 없이 노출되는 ‘간접 객체 참조(IDOR)’ 문제나 비정상적인 데이터 요청을 탐지할 수 있다. 이는 사전에 정의된 규칙이 아니라 AI가 스스로 서비스의 정상 상태를 이해하고 판단하기 때문에 가능한 방식이라는 것이 회사측 설명이다.
배 연구원은 “진트는 공격의 결과가 아니라 공격이 일어날 맥락을 감지한다”며 “이 덕분에 단순한 취약점 스캔을 넘어 각 업무 분야에 맞는 비즈니스 로직의 결함까지 탐지할 수 있다”고 강조했다.
점검 속도도 획기적으로 개선됐다. 통상 2주 이상 걸리던 보안 점검이 평균 12시간 내로 단축됐다. 이는 기존 대비 30배 이상 빠른 속도다. 코드 배포나 시스템 업데이트가 발생할 때마다 즉시 재점검이 가능해 상시 방어 체계를 유지할 수 있다.
박 대표는 “보안은 한 번의 진단으로 끝나는 작업이 아니라, 지속적으로 점검해야 유지된다”며 “AI 기반 점검을 통해 보안을 일회성 점검이 아닌 지속 가능한 운영으로 바꿔가고 있다”고 말했다.
티오리는 고객 데이터 보호를 위해 진트의 AI가 점검 과정에서 수집한 고객 데이터를 학습에 활용하지 않는다는 방침도 밝혔다. 아울러 폐쇄망 환경에서도 적용할 수 있는 온프레미스 모델을 마련해, 클라우드 사용이 제한적인 금융권과 공공기관으로의 확장도 추진할 계획이다.
진트는 구독형 비즈니스 모델을 기본으로 제공된다. 티오리는 월·연 단위의 표준 구독 요금제 외에 대기업을 위한 맞춤형 엔터프라이즈 플랜을 병행 운영하며, 소규모 조직을 위한 진입장벽을 낮춘 저가형 플랜도 마련해 즉시 사용을 시작할 수 있도록 했다.
또한 점검 결과를 개발·운영 파이프라인과 연동할 수 있는 ‘애플리케이션 프로그래밍 인터페이스(API)’ 제공도 준비 중이다. 아울러 클라우드 방식 도입이 곤란한 금융·공공 고객을 위해 온프레미스 설치 옵션과 전용 보안 설정을 지원해 고객 환경에 맞춰 요금·운영 방식을 유연하게 설계할 계획이라고 회사 측은 설명했다.
AI 해커 ‘진트’로 국내 넘어 북미 시장 진출 예정
티오리는 ‘진트’를 주축으로 북미 시장에서 보안 사업을 본격화한다. 박세준 대표는 “AI 기반 보안 점검은 글로벌 시장에서도 이제 막 시작된 분야로 북미에서도 아직 경쟁자가 많지 않다”며 “AI 해커 분야를 선점하려는 목표를 가지고 있다”고 밝혔다. 이어 “내년 상반기 정도에는 북미 시장에 본격적으로 안착할 것으로 예상하고 있다“고 덧붙였다.
현재 미국 시장에서는 ‘엑스보우(Xbow)’라는 AI 보안 기업이 대표적인 경쟁사로 꼽힌다. 티오리는 여러 경쟁 업체가 등장할 것에 대비해 현지 세일즈팀을 확보하고 본격적인 사업 확장을 준비 중이다.
박 대표는 “진트는 최근 과학기술정보통신부가 발표한 ‘범정부 정보보호 대책’의 1700여개 시스템 전수 조사에도 활용될 수 있을 것”이라며 “부처별 수천 개의 시스템을 사람이 아닌 AI가 사전 점검해 위험을 조기에 발견하는 구조가 곧 현실이 될 것”이라고 전망했다.
티오리에 따르면, 진트는 이미 200개 이상 도메인과 3000시간 이상의 점검을 수행한 경험이 있으며, 오류가 없고 점검 시간이 대폭 단축됐다는 평가를 받는 등 국내 대기업·스타트업 모두에서 긍정적인 평가를 받고 있다. 박 대표는 “웹을 기반으로 운영되는 모든 서비스가 점검 대상이 된다“며 “금융, 공공, 커머스 등 분야를 막론하고 많은 기업에서 연락이 오고 있다”고 설명했다.
특히, 티오리가 보유한 7만명 규모의 사이버보안 교육 플랫폼 ‘드림핵(Dreamhack)’은 이번 진트 개발의 중요한 기반이 됐다. 드림핵은 1000개 이상의 실습형 공격·방어 과제를 보유한 교육 플랫폼으로, 티오리의 AI 모델은 이 데이터셋을 통해 실제 공격 성공·실패 패턴을 학습했다.
박 대표는 “AI는 경험의 데이터에서 진화한다. 드림핵의 데이터 자산이 진트를 똑똑한 AI 해커로 만들었다”며 “진트는 단순한 제품이 아니라 지난 20년간의 해킹 실무 경험이 응축된 결과”라고 말했다.
티오리는 진트 출시를 계기로 ▲AI를 위한 보안 ▲보안을 위한 AI ▲사이버보안 훈련이라는 세 가지 전략 축을 본격화한다. 박세준 대표는 “사람이 일일이 침투 테스트를 수행하는 시대는 끝나가고 있다. 앞으로는 AI가 공격자처럼 사고하고 방어자보다 먼저 움직이는 시대가 될 것”이라며 “티오리는 이 변화를 선도하는 글로벌 오펜시브 보안 기업으로 자리매김할 것”이라고 밝혔다.
한편, 티오리는 2016년 미국 오스틴에서 설립된 오펜시브 보안 전문기업으로, 삼성전자·마이크로소프트·메타·옥타 등 글로벌 기업에 보안 컨설팅을 제공하고 있다. 또한 대규모언어모델(LLM) 기반 보안 솔루션 ‘알파프리즘(αprism)’과 사이버보안 교육 플랫폼 ‘드림핵(Dreamhack)’을 운영하며 AI와 보안 기술의 융합을 지속적으로 확장하고 있다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
