박세준 티오리 대표가 28일 삼성동 오크우드 코엑스에서 열린 기자 간담회에서 국내 최초 AI 해커 '진트(Xint)'를 소개하고 있다. [ⓒ 티오리]

[디지털데일리 최민지기자] 세계 최고 수준 화이트해커들이 국내 최초로 '인공지능(AI) 해커'를 만들고 있다는 소식에 제조·금융·전자 등 국내 유수의 기업들이 출시도 하기 전 계약부터 체결했다.

공식 출시 전 이미 주요 기업들 이목을 사로 잡은 제품은 AI 해커 '진트(Xint)'다. 진트는 해킹올림픽으로 불리는 데프콘에서 9회 우승이라는 초유의 기록을 세운 박세준 대표를 필두로 세계 최고 수준 화이트해커들로 구성된 티오리에서 개발했다.

박세준 티오리 대표는 28일 삼성동 오크우드 코엑스에서 열린 기자간담회에서 진트를 공개하며 "유수의 기업들이 계약 체결 후 실제 운영 환경에서 점검하고 있다. 도입 기업들은 한정된 보안인력으로 모든 자산을 매일 점검하기 어려움을 보완했다고 평가했다"며 "글로벌 시장에서도 이같은 비전과 성능을 가진 플레이어는 손에 꼽는다"고 전했다.

티오리에 따르면 진트는 최고 해커를 AI로 복제한 'AI 해커'다. 세계적 수준 화이트햇 해커들이 축적한 공격 시나리오와 방법론을 학습한 AI 해커가 대규모 자산을 단기간 내 높은 정확도와 커버리지로 보안 점검을 수행한다. 단순한 취약점 스캔을 넘어 AI가 사이트 전체 구조와 서비스 실행 맥락을 분석해, 기존 솔루션으로는 탐지하기 어려운 비즈니스 로직의 복합적 결함까지 찾아낸다.

박 대표는 "시중에 존재하는 대부분 보안 툴은 공개된 취약점 데이터베이스에 의존한다"며 "세상에 알려지지 않은 새로운 공격 방법이나 제로데이 취약점들은 탐지하지 못하고, 예측 불가능한 실제 해커 공격에는 더욱 대응하기 어렵다"고 말했다.

이어 "진트의 가장 강력한 차별점은 바로 여기에 있다"며 "세계 최고 수준 화이트해커들이 직접 취약점을 찾아낸 방법론, 모의해킹 과정에서 얻어낸 노하우와 경험을 학습한다. 고객 시스템에서만 발생할 수 있는 새로운 공격 시나리오를 해커 관점에서 예측하고 탐지할 수 있는 이유"라고 설명했다.

진트는 비즈니스 로직을 이해하고 점검한다. 서비스가 어떤 규칙으로 운영되는지, 이를 지키고 있는지까지 살펴본다. 단순히 보안 툴을 통해 무작위 테스트한 것과 다른 결과를 도출할 수밖에 없다. 도입 편의성도 강점이다. 진트는 AI 기반 구독형 서비스다. 서비스형소프트웨어(SaaS)로 제공돼 인터넷주소(URL)로 점검을 시작할 수 있다.

박 대표는 "지금까지 200개 이상 도메인, 3000시간 이상 점검을 수행해 왔다"며 "지금까지 서비스 중단이나 성능 저하, 내부 자산 노출 등 운영 리스크는 단 한 번도 발생하지 않았다. 진트는 도입 장벽을 낮추면서도 실제 운영 환경에 안전하게 적용 가능한 점검을 가능하게 한다"고 강조했다.

이와 함께 티오리는 진트가 시간·비용·기회 측면에서 기업 보안 운영 방식에 근본적 효율을 꾀한다고 밝혔다.

박 대표는 "정식 모의해킹은 수주에서 길게는 수개월까지 시간이 걸리고 수천만원에서 수억원 비용이 발생한다. 고급 보안 인력도 다수 투입돼야 한다"며 "수개월 후 최종 보고서가 나오는 그 사이 보안 공백이 생기는 경우는 흔하다"고 지적했다. "보안인력 부족도 문제다. 글로벌 조사에 따르면 전 세계적으로 약 45%, 국내 기업은 무려 97%가 보안 인력이 부족하다"고 덧붙였다.

진트는 통상 2주 걸리던 보안 점검 기간을 평균 12시간 내로 단축했으며, 30배 빠른 속도로 검증까지 진행한다. 분기별로 또는 연 1~2회 진행하던 보안점검을 365일 수시로 운영할 수 있다.

박 대표는 "최근 범부처 정보보호 종합대책 발표에 따르면 정부는 1600여개 IT 시스템 보안 취약점을 점검한다. 정부부처뿐 아니라 기업들도 수천 수만개 이상 시스템 전수조사 대상"이라며 "진트와 같은 새로운 방식의 자동화된 취약점 점검 패러다임은 필수가 될 것"이라고 예상했다.

한편, 티오리는 오펜시브 사이버보안 전문기업으로 수비적 보안이 아닌 공격자 관점에서 시스템을 파고드는 역할을 한다. 공격하기 전 먼저 취약점을 찾아내 조치하는 한 발 앞선 행보를 보인다. 미국 보안전문지 프랙에서 제기한 KT 사이버침해 의혹을 밝혀낸 곳이기도 하다. 삼성전자·네이버·두나무 등 전세계 100여개 기업·기관 최상위 보안 컨설팅 서비스를 진행하고 있고, 마이크로소프트·메타·구글 등과도 협업했다.