만약 절대 지치지 않는 세계 최고 수준의 보안 전문가가 팀에 합류한다면 어떨까요? 웹사이트 구석구석을 샅샅이 살피며, 미처 발견하지 못했던 취약점까지 찾아내는 동료가 생긴다면요.
티오리는 그 상상에 '더 안전한 세상'이라는 미션을 담아 현실로 만들기로 했습니다. 수년간 세계 최고의 무대에서 증명해온 경험과 문제 해결 방식을 AI에 그대로 학습시켜, 단순한 보안 툴의 한계를 넘어 스스로 생각하고 판단하는 똑똑한 'AI 해커' Xint(진트)를 탄생시킨 거죠.
세계 최고의 해커들이 가르친 AI는 과연 무엇이 다를까요? 티오리의 오랜 고민과 기술이 담긴 이 특별한 동료, Xint에 대해 개발팀과 직접 나눈 솔직하고 편안한 이야기를 지금부터 들려드립니다.
Q: Xint는 어떤 서비스인가요?
Xint를 한 문장으로 표현하자면, ‘세계 최고 해커들의 수년간의 노하우가 담긴 AI 해커’입니다. 복잡한 설정 없이 웹사이트 URL 하나만 입력하면, 실제 해커가 공격하는 것과 똑같은 방식으로 AI가 알아서 취약점을 찾아주는 보안 솔루션이죠.
Q: 'AI 해커'라는 표현이 아주 흥미로운데요, 진짜 해커처럼 시스템을 막 공격해보는 건가요?
네, '해커처럼' 공격한다는 말이 맞지만, 저희는 시스템을 파괴하는 게 아니라 '이런 허점이 실제로 존재한다'고 안전하게 증명하는 데 집중해요.
이게 바로 Xint가 하는 AI 기반 블랙박스 웹 모의해킹 자동화의 핵심인데요. 실제 해커처럼 소스코드는 전혀 보지 않고 외부 사용자에게 노출된 웹사이트로만 공격 포인트를 찾아내는 거죠. 그리고 여기에 더해, 내부 시스템에 대한 스캔 기능 또한 별도로 지원하고 있어요. 덕분에 외부로 공개된 서비스부터 접근이 막힌 내부 개발 서버까지, 사실상 안과 밖의 모든 디지털 자산을 점검할 수 있는 거죠.
그래서 AI 해커라는 말이 조금 무섭게 들릴 수도 있지만, 실제로는 시스템에 영향을 주지 않으면서도 취약점을 찾아주는 든든한 동료라고 생각해주시면 좋을 것 같아요.
Q: Xint는 정확히 어떻게 해커처럼 취약점을 찾아내는 건가요? 과정이 궁금해요.
Xint의 점검 과정은 크게 네 단계로 나눠볼 수 있어요.
첫째, ‘정보 수집’ 단계. 이 첫 단계에서는, AI가 정말 사람처럼 사이트를 돌아다녀요. 회원가입도 해보고, 게시물도 남겨보고, 물건을 장바구니에 담는 등 여러 기능을 직접 써보면서 이 사이트가 어떻게 돌아가는지, 구조와 기능의 순서, 즉 비즈니스 로직을 학습해요.
둘째, '취약점 발견' 단계. 여기에 티오리 팀의 노하우가 전부 담겨있다고 보시면 돼요. 저희가 수년간 100곳이 넘는 고객사에서 1,500개 이상의 취약점을 분석하며 쌓은 문제 해결 노하우를 AI의 핵심 로직에 담았어요. 그래서 단순히 알려진 규칙만 점검하는 데서 그치는 게 아니라, 각 사이트의 특징에 맞춰 가장 효과적인공격 시나리오를 AI가 스스로 짜서 실행한다는 점이에요. 예를 들어, 그냥 버튼만 눌러보는 게 아니라 '장바구니에 물건을 담았다가, 결제 직전에 값을 조작하면 어떻게 될까?'처럼 여러 행동을 조합해야만 찾을 수 있는 시스템의 허점을 정확히 짚어내는 거죠.
셋째, '임팩트 분석' 단계. Xint는 의심스러운 점을 찾으면 거기서 멈추지 않고 한발 더 나아가요. 발견된 취약점이 방화벽을 우회하거나 다른 취약점과 결합해 파급력이 더 커질 수 있는지 등을 추가로 테스트하며 실제 위협 수준을 가늠해보는 거죠. 이 과정에서 서비스의 맥락을 이해하는 게 핵심인데요. 익명 커뮤니티에서 개인정보가 보이는 건 큰일이지만, 커리어 사이트에서는 당연한 거잖아요? Xint는 이런 상황까지 고려해서, 정말 조치가 필요한 위협만 남기고 오탐은 깔끔하게 걸러냅니다.
넷째, '보고서 제공' 단계. Xint 보고서는 개발자분들이 결과를 받자마자 바로 행동에 나설 수 있도록 돕는 데 모든 초점을 맞췄어요. 단순히 취약점을 나열하는 대신, 위험도 순으로 보기 쉽게 정리하고 각 문제에 대한 명확한 설명과 근거를 담았습니다. 그리고 저희 보고서의 진짜 핵심은 공격 재현 코드(PoC)예요. 글로 길게 설명하는 대신, 개발자분이 직접 실행해서 바로 취약점을 눈으로 확인할 수 있는 테스트 코드를 드리는 거죠. 덕분에 문제를 훨씬 직관적으로 이해하고 빠르게 수정하실 수 있습니다.
Q: 그렇다면 기존 스캐너 툴과 비교했을 때 Xint만의 차별점은 뭐라고 할 수 있을까요?
가장 큰 차별점은, 최신 AI 기술을 활용해 탐지 성능은 압도적으로 높이고, 불필요한 오탐(False Positive)은 획기적으로 줄였다는 점입니다
기존 스캐너 툴은 보통 정해진 규칙에 따라 기능 하나하나를 따로 점검한다면, Xint는 실제 해커처럼 생각해요. 앞서 설명 드린 것처럼, 웹사이트의 전체적인 흐름, 즉 비즈니스 로직을 먼저 이해한 뒤에 창의적인 다각적 시나리오를 직접 만들어내는 거죠. 덕분에 기능 하나만 봐서는 절대 알 수 없는, 여러 단계를 거쳐야만 나타나는 복잡한 취약점까지 찾아낼 수 있습니다.
그리고 단순히 의심스러운 점을 나열하는 게 아니라, 서비스의 맥락까지 파악해서 진짜 의미 있는 위협만 걸러내주기 때문에, 사용자는 불필요한 경고에 시간을 낭비할 필요가 없죠.
결국 Xint는 기존 스캐너가 하는 기본적인 점검은 물론, 그 이상을 해내는 거죠.
Q: Xint라는 제품이 2024년에 베타 런칭이 된 것으로 알고 있는데, 지금의 Xint와 많이 다른가요?
처음 Xint를 구상했을 때는 CSPM(클라우드 보안 관리), ASM(공격 표면 관리), 모의해킹 자동화 AI과 같은 여러 보안 영역을 아우르는 거대한 플랫폼을 생각했어요.
그런데 베타를 운영하며 받은 피드백을 통해, 모의해킹 자동화 기능이 가장 압도적인 가치를 제공한다는 걸 깨달았어요. 그래서 여러 기능들을 넓게 제공하기보다는, 기존 플랫폼의 핵심이었던 그 AI 엔진을 더욱 발전시켜, 지금의 웹 모의해킹 전문 솔루션 Xint로 재탄생시킨 거죠. 덕분에 훨씬 더 깊고 전문적인 분석이 가능해졌습니다.
Q: 이야기를 듣다 보니, Xint에 담긴 기술력에 대한 자부심이 느껴지는 것 같아요. 새로운 AI 솔루션을 직접 만들기로 결심하게 된 계기가 궁금해지네요.
저희가 보안 컨설팅 현장에서 고객분들을 만나며 가장 많이 들었던 고민이 바로 '규모'와 '깊이'의 문제였어요. 한정된 전문가 인력으로는 회사의 모든 자산을 다 들여다볼 수 없고(규모), 그렇다고 기존 자동화 툴에만 의존하기엔 해커가 노리는 복잡한 취약점(깊이)까지는 찾아내지 못하는 딜레마였죠.
Xint는 바로 그 지점에서 출발했습니다. 저희 전문가들의 노하우를 AI에 담아, 사람의 깊이와 기계의 속도와 규모를 모두 갖춘 해결책을 만든 거죠. 지금은 웹 모의해킹 자동화로 첫발을 내디뎠지만, 앞으로 더 많은 영역을 자동화하며 고객분들의 고민을 덜어드리는 게 목표입니다.
Q: 그렇다면 Xint는 어떤 조직에게 가장 도움되는 자동화 해결책이 될 수 있을까요?
물론 모든 조직에 도움이 된다고 생각하지만, 특히 너무 많은 자산을 보유해서 한정된 인력으로 모든 자산을 검수하기 어려운 기업에게 가장 큰 도움이 될 거라고 생각해요.
내부 보안팀의 실력은 의심할 여지가 없지만, 한정된 인력으로 회사의 모든 자산을 매일같이 들여다보는 건 현실적으로 불가능하잖아요. 그래서 가장 중요한 서비스에 집중할 수밖에 없죠.
Xint는 바로 그 빈틈을 채워줍니다. 최고의 전문가들이 핵심 업무에 집중하는 동안, Xint는 나머지 수많은 자산들을 지치지 않고 점검해주는 거죠. 한정된 리소스를 아껴주고 전체 보안 커버리지를 몇 배로 넓혀주는 강력한 조력자가 되어줄 수 있어요.
Q: 그런 전문적인 조직에서 Xint를 실제로 사용해봤을 때의 반응이 어땠는지 정말 궁금하네요. 기억에 남는 고객분들의 피드백이 있다면 들려주실 수 있나요?
사실 저희가 직접 말씀드리기엔 조금 쑥스럽지만… (ㅎㅎ) 최근에 한 얼리 액세스 고객사 분께서 저희 보고서를 받아보시고는, "AI가 이렇게까지 잘해요? 사람이 했던 것보다 나은데요?" 라며 감탄하시더라고요.
저희가 뭘 보여드리고 싶었는지 알아주시는 것 같아 정말 감사했죠. 이런 말씀 하나하나가 저희 팀에게는 큰 원동력이 되거든요.
Q: 앞으로 Xint가 뻗어나갈 다음 단계에 대해서도 혹시 계획하고 있는 게 있으신가요?
물론 장기적으로는 모바일, 클라우드 등 더 넓은 영역을 생각하고 있지만, 지금은 저희가 가장 잘할 수 있고 고객이 가장 필요로 하시는 부분에 집중하려고 해요. 그래서 당장 2026년 내로 목표로 두 가지 큰 업데이트를 준비하고 있는데요
가장 큰 것은 SAST, 즉 소스코드 분석 솔루션을 새롭게 선보이는 거예요. 최근에 저희가 미국 DARPA가 주최한 세계 AI 사이버보안 챌린지(AIxCC) 본선에서 3위에 입상했는데요, 그때 증명된 저희의 AI 기반 소스코드 분석 기술을 제품으로 선보일 계획입니다. 이렇게 되면, 외부에서 공격자의 시점으로 점검하는 지금의 Xint(DAST)와, 내부에서 개발자의 시점으로 소스코드를 점검하는 새로운 솔루션(SAST)이 시너지를 내서 훨씬 더 촘촘한 보안을 제공해드릴 수 있게 되죠.
그리고 또 하나는 기존 베타 버전에 제공했던 ASM, 즉 공격 표면 관리 솔루션과의 연동도 준비하고 있습니다. ASM을 통해 회사의 모든 외부 자산을 식별하고, Xint가 그 자산들의 취약점을 깊이 있게 분석하는 방식으로, 관리의 효율과 범위를 크게 넓힐 계획입니다.
Q: 마지막으로, 이런 모든 계획들을 통해 Xint가 궁극적으로 이루고 싶은 목표나 비전이 있다면 무엇일까요?
궁극적으로는 '보안의 문턱을 낮추어서, 더 안전한 사이버 세상을 만드는 것' 입니다. 보안은 어렵고, 비싸고, 전문가만 할 수 있다는 생각을 바꾸고 싶어요. Xint를 통해 누구나 시간이나 비용 제약 없이, 클릭 한 번으로 최고 수준의 전문성을 빌려 쓸 수 있도록 하는 거죠.
보안이 더 이상 소수 전문가의 전유물이 아니라, 모두가 자신의 서비스를 만들 때 당연하게 누리는 기본 권리가 되는 세상. 저희는 Xint가 그 세상을 여는 중요한 열쇠가 될 거라고 믿습니다.
Q: 이제 많은 분들이 Xint를 직접 경험해보고 싶어 하실 것 같은데, 정식 런칭 전에 미리 만나볼 방법이 있을까요?
네, 물론입니다. 저희가 오는 10월 정식 런칭을 앞두고 있는데요, 그전에 Xint의 성능을 궁금해하실 분들을 위해 얼리 액세스를 운영하고 있어요.
미리 신청해주시는 기업들께는 저희 팀이 직접 연락을 드려서, 실제 운영하시는 서비스 환경에서 Xint가 얼마나 효과적으로 움직이는지 직접 보여드리고 있습니다. 정식 런칭 전이라 더 많은 혜택과 함께 만나보실 수 있어요.
관심 있으신 분들은 Xint 홈페이지를 통해 편하게 문의 남겨주시면 됩니다. 많은 관심 부탁드려요!
티오리의 고민과 노력이 담긴 Xint가 2025년 10월, 드디어 정식으로 여러분을 찾아갈 예정입니다.
최고 전문가의 예리함과 지치지 않는 성실함을 모두 갖춘 AI 해커, Xint가 만들어갈 더 안전한 변화를 기대해주세요!
