[현장]URL·코드 입력하자 공격 시작… 'AI 해커'로 보안 구멍 막는다

김태연 2026. 4. 24. 04:32
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

20일 서울 강남구에서 만난 보안 전문 기업 티오리의 박세준 대표는 정상적으로 작동하는 시스템에서도 보안 구조에 빈틈이 있으면 생길 수 있는 위험을 이렇게 경고했다.

티오리가 만든 인공지능(AI) 보안 설루션 '진트'는 웹사이트 구조와 코드를 분석해 이 같은 취약점을 밝혀낸다.

미국 AI 기업 앤스로픽이 최근 공개한 모델 '미소스'로 AI가 취약점을 찾아 정보를 탈취할 수 있다는 우려가 확산하는 가운데, AI가 보안 구멍을 찾아 사전에 차단하는 기술이 현실화하고 있다.

닫기
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
AI가 웹사이트 구조 파악해 취약점 발견
여러 공격 시나리오 세우고 오탐 검증도
전문가 서너 명 한 달 할 일, 12시간 만에
"제2, 3 미소스 나올 것... 선제 대응해야"

보안 전문 기업 '티오리'의 박세준 대표가 20일 서울 강남구 본사에서 AI 분석 결과를 바탕으로 취약 정도와 유형, 공격으로 이어질 수 있는 조건을 설명하고 있다. 강예진 기자

보안 전문 기업 '티오리'의 박세준 대표가 20일 서울 강남구 본사에서 AI 분석 결과를 바탕으로 취약 정도와 유형, 공격으로 이어질 수 있는 조건을 설명하고 있다. 강예진 기자
겉으론 정상 작동하는 것처럼 보여도 순식간에 '돈이 빠져나가는 구멍'이 될 수 있어요
박세준 티오리 대표

20일 서울 강남구에서 만난 보안 전문 기업 티오리의 박세준 대표는 정상적으로 작동하는 시스템에서도 보안 구조에 빈틈이 있으면 생길 수 있는 위험을 이렇게 경고했다. 그는 "상품 수량을 입력하는 칸에 '-1'과 같은 음수를 넣었는데 시스템이 이를 걸러내지 못할 수 있다"며 "그러면 물건을 사지 않고도 환불을 요구할 수 있다"고 지적했다. 악용 소지가 있는 기능을 제대로 관리하지 못하면 경제적 손실로 이어질 수 있다는 얘기다. 티오리가 만든 인공지능(AI) 보안 설루션 '진트'는 웹사이트 구조와 코드를 분석해 이 같은 취약점을 밝혀낸다.

미국 AI 기업 앤스로픽이 최근 공개한 모델 '미소스'로 AI가 취약점을 찾아 정보를 탈취할 수 있다는 우려가 확산하는 가운데, AI가 보안 구멍을 찾아 사전에 차단하는 기술이 현실화하고 있다. AI가 스스로 취약점 점검을 수행하고 실제 해커처럼 공격 시나리오를 만들어 검증할 수 있게 된 것이다. 한국일보는 티오리 한국 본사를 찾아 AI가 취약점을 탐지하는 과정을 살펴봤다.

구조·맥락 이해하고 해커처럼 공격

박세준 티오리 대표가 20일 서울 강남구 본사에서 AI 기반 보안 설루션 '진트'로 한 웹사이트가 지닌 취약점을 분석하고 있다. 강예진 기자

박세준 티오리 대표가 20일 서울 강남구 본사에서 AI 기반 보안 설루션 '진트'로 한 웹사이트가 지닌 취약점을 분석하고 있다. 강예진 기자

웹사이트 주소(URL)나 소스 코드를 입력하고 몇 가지 옵션 버튼을 누르자 진트는 해커처럼 움직였다. 로그인, 결제 등 구조와 기능을 탐색한 뒤 어떤 지점이 공격받기 쉬운지 가정하고 이를 따져봤다. 입력값을 바꾸거나 권한을 우회했을 때 어떤 문제가 생기는지 확인하는 모의실험에 나선 것. 박 대표는 "기존 보안 도구가 정해진 패턴을 적용하는 데 그쳤다면 AI는 맥락을 알고 그에 맞는 전략을 세운다"고 말했다.

이 과정은 12시간 안에 끝난다. 보안 전문가 서너 명이 한 달에 걸쳐 하던 작업을 몇 시간으로 줄였다. 분석이 끝나면 진트는 수백 건에 달하는 취약점을 보고서로 정리한다. 이는 취약점 유형, 심각도와 함께 해당 문제가 발생한 코드 위치와 문제 발생 원인을 담고 있다. 또 실제 공격이 가능한지 따져 본 결과와 재현 방법도 제공한다.

문제가 없는데도 취약점으로 잘못 판단하는 경우(오탐)도 크게 줄었다. 이전까지 보안 설루션은 의심되는 지점을 모두 표시해 개발자들이 불필요한 검증에 시간을 쓰는 경우가 많았다. 반면 진트는 관리자가 긴급하고 중요한 취약점에 집중할 수 있게 한다. 박 대표는 "단순 탐지가 아니라 공격 시나리오를 재현해 증빙을 확보하는 식이라 오탐률이 낮다" 강조했다.

"선제적으로 취약점 찾아 대비해야"

AI 보안 설루션 '진트'가 도출한 취약점 분석 결과 보고서. 취약점이 어떤 코드에서 발견됐고, 실제 어떤 피해로 이어질 수 있는지를 설명하고 있다. 티오리 제공

AI 보안 설루션 '진트'가 도출한 취약점 분석 결과 보고서. 취약점이 어떤 코드에서 발견됐고, 실제 어떤 피해로 이어질 수 있는지를 설명하고 있다. 티오리 제공

티오리는 지난해 10월 URL을 입력해 취약점을 탐지하는 보안 설루션을 출시한 데 이어, 3월 내부 코드를 복사해 정밀 진단하는 시스템을 공개했다. 취약점을 개선하는 서비스도 곧 도입한다. 미소스발 해킹 공포 이전에 'AI 해커'를 선보인 건 보안 환경의 구조적 변화를 감지해서다. 박 대표는 "생성형 AI 확산으로 코드 생산 속도가 빨라지면서 사람이 검증하긴 어렵다고 봤다"며 "3년 전 개발에 뛰어들었다"고 떠올렸다.

박 대표는 자체 기술 개발이나 글래스윙 협력에 전적으로 의존하기보다 상용화된 기술을 빠르게 도입하는 게 더 중요하다고 봤다. 미소스가 기술 공개를 하지 않더라도 유사 수준의 기술이 확산할 거고, 이를 막기 위해선 취약점을 찾기 시작해 제거해 나가는 게 핵심이란 얘기다. 그는 "향후 미소스에 준하는 모델이 계속 나올 거고, 그때 가서 이를 활용한 공격을 막는 건 늦는다"며 "시중에 있는 설루션을 활용해 취약점을 선제적으로 찾고 대비하는 게 필요하다"고 제언했다.

김태연 기자 tykim@hankookilbo.com

Copyright © 한국일보. 무단전재 및 재배포 금지.

한국일보에서 직접 확인하세요. 해당 언론사로 이동합니다.