인간 해커를 제치고 1위, 수백만 줄의 코드에서 '진짜 위협'만 골라내는 Xint Code

보안 취약점 점검, 수만 줄의 코드를 언제 다 보고 계실 건가요?

수백만 줄의 코드가 쌓여가는 속도를 보안 팀이 따라잡기란 현실적으로 불가능에 가깝습니다. 아무리 뛰어난 전문가라도 지치지 않고 모든 파일의 설계 의도까지 파악하며 취약점을 찾아내기엔 물리적인 시간이 부족하기 때문이죠.

이제는 공격자들이 강력한 모델을 앞세워 보안 취약점을 익스플로잇하는 속도가 인간의 방어 속도를 압도하고 있습니다. 하지만 기존의 코드 스캐너는 여전히 단순히 정해진 규칙에 맞는 취약한 패턴만 찾는 수준에 머물러 있으며, 수만 개의 오탐 속에 공격자들이 악용하는 진짜 위험을 찾지 못하고 있죠.

"해커의 날카로운 직관을 자동화할 수는 없을까?"
Xint Code(진트 코드)는 바로 이 질문에 대한 티오리의 해답입니다.

단순한 보안 툴을 넘어, 세계 최고 수준의 화이트햇 해커들이 문제를 해결하는 사고방식 그 자체를 AI에 학습시켜 탄생한 티오리의 차세대 AI 보안 솔루션. 전문가들도 20년 동안 놓쳤던 취약점을 단 12시간 만에 스스로 찾아내고, 글로벌 대회에서 인간 해커팀을 모두 제치고 당당히 1위를 차지한 Xint Code가 어떻게 보안의 패러다임을 바꾸고 있는지 확인해 보세요!

Q: Xint Code는 기존의 정적 분석 도구(SAST)와 무엇이 다른가요?

먼저 SAST(Static Application Security Testing, 정적 애플리케이션 보안 점검)란, 프로그램을 실제로 실행하지 않고 소스 코드 자체를 분석하여 보안 약점을 찾는 기술이자 보안 툴입니다. 기존 도구들은 미리 정의된 위험한 코드 형태과 룰셋을 목록으로 가지고 있습니다. 마치 시험 문제 정답지를 맞춰보듯, 코드에 그 패턴이 나타나면 무조건 경고를 울리는 '패턴 매칭' 방식입니다.

반면, Xint Code는 티오리만의 엔진을 통해 LLM이 코드를 직접 읽고 이해하도록 설계되었습니다. 덕분에 단순히 위험해 보이는 패턴을 찾아내는 수준을 넘어, "이 코드가 어떤 의도로 작성되었는가?"와 "해커가 이 흐름을 악용하여 공격할 수 있는가?"를 전문가, 또는 그 이상의 깊이와 속도로 추론해 낼 수 있습니다.

1) 탐지 범위와 깊이

기존 툴들은 단순하고 정해진 취약점 패턴 탐지만 최적화되어 있습니다. 그래서 코드의 복잡한 흐름처럼 단순 패턴으로 탐지하기 어려운 보안 이슈처럼 고난도 취약점은 그냥 지나치기 쉽죠. 반면 Xint Code는 독자적인 AI 에이전트 오케스트레이션 엔진을 통해 코드의 전체 맥락을 깊이 있게 이해합니다.

엔진은 적재적소에 다양한 LLM 모델들을 배치해 코드의 구조 파악부터 취약점 탐지까지 병렬로 수행하며, 기존 툴이 발견하지 못하는 프로그램의 흐름이나 데이터 간의 연걸 고리를 찾아내 훨씬 넓은 탐지 영역을 제공합니다. 특히 서비스 또는 소프트웨어가 담고 있는 비즈니스 로직의 논리적 허점까지 파고들어 치명적인 결함까지 날카롭게 잡아냅니다.

2) 실제 공격이 가능한지 증명하는 리포트

보안 팀의 가장 큰 고민은 "발견된 수많은 문제 중 무엇부터 해결해야 하는가"입니다. 기존 툴은 단순히 "몇 번째 줄이 어떤 규칙을 위반했다"는 정보만 줄 뿐, 어떻게 공격이 이뤄지는지는 설명하지 못합니다. Xint Code는 해당 취약점을 실행하기 위한 조건(Trigger)과 비즈니스에 미치는 영향(Impact)을 인간 해커가 쓴 것처럼 상세하게 제공합니다. 덕분에 보안 담당자는 재현 경로를 찾느라 시간을 허비할 필요 없이, 정말 중요한 문제에만 집중할 수 있습니다.

3) 낮은 오탐률

최신 연구에 따르면 기존 SAST 도구의 오탐률은 최대 80-90%에 달하며, 발견된 내용 중 실제 유의미한 결과는 25% 미만인 경우가 많습니다. 이는 보안 팀이 무의미한 결과를 걸러내는 데 대부분의 리소스를 낭비하거나, 나아가 툴을 신뢰하지 못하고 보안 검수 자체를 스킵하는 관행으로 이어지기도 합니다. Xint Code는 AI가 발견한 취약점을 엔진 내부에서 스스로 논리적으로 검증하여 약 20% 수준의 낮은 오탐률을 유지합니다. 단순히 이론적인 버그가 아니라, 실제 환경에서 공격 가능한 취약점만을 선별해내는 것이 Xint Code의 독보적인 강점입니다.

Q: 어떻게 작동하나요?

진트 코드는 사용자가 복잡한 보안 설정을 고민할 필요 없이, '연결 - 분석 - 조치'라는 직관적인 흐름으로 설계되었습니다.

1 단계: 레포지토리 연결
분석할 대상을 알려주는 첫 단계입니다. GitHub, GitLab 등 평소 사용하는 저장소(VCS)를 클릭 몇 번으로 연동하거나 소스 코드를 직접 업로드하면 준비가 끝납니다. 기존 도구들처럼 분석을 위해 복잡한 빌드 환경을 구축하거나 패키징 과정을 거칠 필요가 없어, 도입 즉시 점검을 시작할 수 있습니다.

2 단계: 실시간 AI 분석
연결이 완료되면 티오리의 AI 엔진이 본격적으로 가동됩니다. 수개월이 걸릴 법한 수백만 줄의 대규모 코드베이스도 단 12시간 이내에 전수 조사를 마칩니다.

3단계: 신속한 취약점 리포트
찾아낸 취약점을 개발자가 즉시 해결할 수 있도록 돕는 단계입니다. 공격이 성립하는 조건과 비즈니스에 미치는 영향를 AI가 찾은 취약점이 진짜임을 입증하는 재현 코드(PoV)를 통해 상세한 보고서로 제공합니다.

Q: AI를 활용한 보안 툴은 이미 많지 않나요? Xint Code만의 강점은 무엇인가요?

최근 보안 시장에는 AI를 표방하는 도구들이 쏟아지고 있지만, 실상은 기존 스캐너의 결과물을 AI로 단순 필터링하는 'LLM 래퍼(Wrapper)' 방식이 대다수입니다. 이는 구식 엔진이 쏟아낸 수만 개의 노이즈를 AI에게 맡겨 중요도를 분류하게 하는 사후 처리에 불과합니다. 탐지의 시작점인 엔진 자체가 구식이라면, 아무리 뛰어난 AI를 덧입혀도 기존 도구의 낮은 정확도와 높은 오탐률이라는 근본적인 한계를 벗어날 수 없습니다.

반면 Xint Code는 처음부터 AI가 보안 분석의 핵심을 담당하도록 설계된 'LLM 네이티브(LLM-native)' 솔루션입니다.

세계적 오펜시브 보안 전문가들이 직접 만들어 "해커라면 이 코드를 어떻게 악용할까?"라는 질문을 바탕으로 AI 에이전트가 코드의 구조와 맥락을 직접 읽고 추론하기 때문에, 기존 도구들이 정해진 규칙에 얽매여 놓치던 복잡한 비즈니스 로직의 빈틈까지 유연하게 포착해냅니다.

Q: AI가 '비즈니스 로직'을 이해한다는 게 구체적으로 어떤 의미인가요?

비즈니스 로직이란 서비스가 의도한 대로 동작하는 만드는 고유의 업무 규칙과 워크플로우를 의미합니다. 비즈니스 로직 취약점은 시스템의 정상적인 기능을 교묘하게 비틀어 설계자가 의도하지 않은 결과를 만들어내는 결함입니다. 예를 들어 ‘포인트 충전과 결제를 동시에 요청해 데이터베이스 처리 속도 차이(Race Condition)로 잔액을 무한 복사’하거나, ‘API 호출 순서를 뒤틀어 본인 인증 단계를 통째로 건너뛰는'것과 같은 취약점들이죠. 이때 단순한 코드 패턴으로는 이러한 이슈들이 탐지되지 않아, 기존 도구들은 이러한 로직 결함을 찾아낼 수 없습니다.

Xint Code는 서비스의 겉모습이 아닌 그 밑바닥에 흐르는 설계의 의도를 파악합니다. AI 에이전트가 시스템 전체를 유기적으로 분석하며 "이 서비스는 어떤 프로세스로 데이터를 처리하는가”와 같은 프로그램의 전반적인 흐름을 심도있게 분석합니다. 여기에 DEF CON 9회 우승 등 세계 최고의 무대에서 증명된 티오리 연구원들의 실전 취약점 분석 노하우를 AI 핵심 엔진에 녹여냈습니다.

Q: 실제로 성능이 검증된 사례가 있나요?

가장 대표적인 사례는 바로 전 세계에서 가장 널리 쓰이는 데이터베이스 중 하나인 PostgreSQL에서 발견한 치명적인 결함입니다.

Xint Code는 약 94만 줄에 달하는 방대한 PostgreSQL 전체 코드를 단 12시간 만에 훑었습니다. 그리고 놀랍게도, 무려 20년 동안 전 세계 수많은 보안 전문가도 찾아내지 못했던 버퍼 오버플로우 취약점을 단숨에 찾아냈습니다. 이 취약점은 해커가 마음만 먹으면 PostgreSQL을 사용하는 서비스의 데이터베이스 전체를 탈취할 수 있을 만큼 매우 위험한 결함이었지만, 다행히 Xint Code가 먼저 발견한 덕분에 지금은 안전하게 패치되었습니다.

이처럼 스스로 취약점을 찾아내고 검증하는 독보적인 기술력을 바탕으로, Xint Code는 글로벌 보안 기업 위즈(Wiz)가 주최한 'ZeroDay Cloud' 대회에서 숙련된 인간 해커들을 제치고 당당히 전체 1위를 차지했습니다. 또한 미국 국방부 산하 DARPA가 주최한 세계 AI 보안 챌린지(AIxCC)에서도 최종 3위를 기록하며, 전 세계가 주목하는 자율형 보안 솔루션으로 자리 잡았습니다.

현재 Xint Code가 오픈소스 프로젝트 등에서 실시간으로 찾아내고 있는 최신 취약점 리스트는 공식 버그 트래커에서 직접 확인하실 수 있습니다. 또한, Xint Code 데모 사이트를 방문하시면 실제 제품의 인터페이스와 함께 강력한 보안 분석 성능을 직접 체험해 볼 수 있는 데모를 만나보실 수 있습니다.

Q: 기존 Xint Web과는 어떻게 다른가요?

진트 코드(Xint Code)의 출시로 티오리는 외부와 내부를 모두 아우르는 통합 AI 보안 생태계를 완성하게 되었습니다. 두 솔루션은 각각 '공격자의 관점'과 '설계자의 관점'에서 서로의 빈틈을 채워주는 완벽한 파트너 관계입니다.

• Xint Web: AI 해커의 실시간 웹 취약점 자동 탐지 (DAST)

기존의 Xint Web은 실제 구동 중인 웹 서비스를 대상으로 하는 동적 분석 도구입니다. AI가 마치 실제 사용자처럼 사이트를 돌아다니며 회원가입, 장바구니 담기 등 여러 기능을 직접 써보고 비즈니스 로직을 분석합니다. 소스코드를 전혀 보지 않는 '블랙박스' 방식으로, 외부 공격자가 침투할 수 있는 위협을 탐지하는 데 최적화되어 있습니다.

• Xint Code: 수백만 줄의 소스코드를 자동 분석하는 심층 진단 (SAST)

반면 Xint Code는 서비스의 설계도인 소스코드 자체를 들여다보는 정적 분석 도구입니다. 수백만 줄의 코드와 설정 파일, 바이너리를 전수 조사하여 프로그램 깊숙이 숨겨진 논리적 결함을 추적합니다. 외부에서는 보이지 않는 코드 레벨의 근본 원인을 파악하여, 해커가 파고들 수 있는 잠재적인 공격 경로를 선제적으로 제거합니다.

• Xint Web + Code: 코드 분석 데이터와 공격 시나리오의 결합이 만드는 강력한 AI 보안 생태계

두 솔루션 결합은 더욱 정교한 엔드 투 엔드 보안을 완성합니다. Xint Code가 소스코드 레벨에서 분석한 아키텍처 데이터를 바탕으로 Xint Web이 가장 치명적인 지점을 파악해 집중적인 외부 공격 시뮬레이션을 수행하는 식이죠. 내부 코드 레벨의 원인 분석부터 지능형 외부 공격 테스트까지 하나로 연결되어, 기업은 지능화되는 AI 공격에 맞서 더 견고한 방어 체계를 구축할 수 있습니다.

결국 진트 플랫폼은 최고의 보안 전문가들이 가진 노하우를 AI로 구현하여, 고객이 서비스의 안팎을 더 쉽고 빠르게 보호할 수 있는 시대를 열어가고 있습니다.

지금 이 순간에도 공격자들은 AI를 도구 삼아 더 빠르고 영리하게 빈틈을 찾고 있습니다. 수백만 줄의 코드 속에 숨겨진 단 하나의 결함이 기업의 신뢰를 무너뜨릴 수 있는 시대, 더 이상 설계의 복잡함이나 은폐를 통한 보안은 방어막이 되어주지는 못합니다.

티오리는 Xint Code를 통해 보안 전문가들만이 가질 수 있었던 날카로운 통찰력을 모든 기업이 누릴 수 있도록 대중화했습니다. 20년 동안 숨어있던 제로데이를 단 12시간 만에 찾아낸 압도적인 기술력, 그리고 서비스의 안(Xint Code)과 밖(Xint Web)을 모두 아우르는 통합 AI 보안 생태계는 여러분의 비즈니스를 지키는 가장 강력한 방패가 될 것입니다.

지능화되는 AI 공격, 그 너머를 보는 티오리의 AI 보안 솔루션을 지금 바로 경험해 보세요!

👉 [Xint Code 더 알아보기]