Xint Code를 소개합니다

티오리에서는 지난 8월 AI 사이버 챌린지(AIxCC)에서의 성과를 바탕으로 새로운 코드 분석 도구인 Xint Code를 공개했습니다.

Xint Code는 사람의 개입 없이 Redis, PostgreSQL, MariaDB에서 치명적인 제로데이 원격 코드 실행(Remote Code Execution) 버그를 발견했으며, ZeroDay Cloud의 데이터베이스 카테고리를 석권하고 모든 인간 팀을 제치는 성과를 거뒀습니다. 해당 취약점은 관계자들과 책임감 있는 공개 과정을 진행 중입니다.

Xint Code 기능

Xint Code는 소스 코드, 구성 파일, 더 나아가 바이너리까지 분석할 수 있으며, 패키징이나 하네싱 요구사항이 전혀 없습니다. 시스템 분석 후, 취약점의 영향력과 심각도를 입체적으로 평가해 사람이 이해하기 쉽고 즉시 행동에 옮길 수 있는 보고서를 제공합니다. 기존 정적 분석 도구와 비교했을 때, Xint Code는 훨씬 적은 오탐을 생성하면서도 훨씬 더 많은 실제 취약점을 발견하며, 때로는 수십 년간 사람이 놓쳤던 문제들까지 찾아냅니다.

ZeroDay Cloud를 준비하는 과정에서, Xint 팀은 각 프로젝트의 전체 git 저장소를 업로드하고 Xint Code를 실행하는 것만으로 세 개의 원격 코드 실행 취약점을 발견할 수 있었습니다. 세 타겟 프로젝트 각각에 대해 Xint Code는 최고 심각도 취약점을 정확히 식별했으며, 버그를 찾는 과정에서 수동 설정이나 특별한 하네스, 분석 중 사람의 개입은 전혀 필요하지 않았습니다.

Xint Code 작동 원리

티오리는 소프트웨어 보안 분야에서의 수십 년간의 경험과 AI 기술의 발전을 결합하여 사람이 버그를 찾는 과정을 자동화하고 있습니다. 저희 솔루션은 프로젝트의 공격 표면을 스스로 탐색하고, 관련 컨텍스트에서 모든 코드 라인을 심층 분석하며, 실제 보안에 영향을 미치는 취약점을 식별합니다.

이를 통해 Xint Code는 티오리 보안 연구원의 선도적인 전문성을 대규모의 복잡한 코드베이스까지 확장하며, 표준 도구로는 찾을 수 없는 결함들을 발견합니다.

향후 계획

ZeroDay Cloud 2025는 ‘널리 사용되는 오픈소스 소프트웨어의 기본 구성에서 발생하는 원격 코드 실행 취약점’이라는 매우 높은 버그 인정 기준을 제시했습니다. 이러한 높은 난이도에도 불구하고, Xint Code는 세 개의 대상 데이터베이스 모두에서 치명적인 버그를 발견하는데 성공했습니다. ZeroDay Cloud 이외의 대상에 대해서도, Xint Code는 지금까지 분석한 거의 모든 오픈소스 프로젝트에서 높은 심각도 취약점을 발견했습니다.

저희는 Xint Code가 오픈소스 생태계를 더 안전하게 만드는 데 기여할 수 있다고 믿습니다. ZeroDay Cloud 상금은 현대 세계를 뒷받침하는 핵심 소프트웨어에 대한 추가 분석에 활용할 예정입니다.

파트너십

Xint Code는 실환경에서 의미 있는 취약점을 발견하는 데 초점을 둔 솔루션입니다. 앞으로 전 세계 소프트웨어 생태계를 더 안전하게 만드는 데 기여할 수 있기를 기대합니다. 동시에 높은 영향도의 취약점을 안정적으로 찾아내는 도구는 책임감 있게 배포되어야 하므로, 출시 방법에 대해 신중하게 접근하고 있습니다.

초기 협력을 위해 실제 보안 워크플로우에서 Xint Code를 사용할 소수의 파트너를 찾고 있습니다. 귀사의 코드베이스에 대한 분석을 실행하고 발견사항을 검증하기 위해 긴밀히 협력할 예정입니다.

협력에 관심있으시다면 Xint Code 웹사이트 통해 연락주시기 바랍니다.