박세준 티오리 대표 "최고 해커가 'AI해커' 만든 건 세계 처음"
"AI를 활용해서 모의 해킹이나 해킹을 하는 건 국내에서 우리가 최초입니다. 해커들이 만든 솔루션은 아직 없습니다. 이번에 나온 '진트(Xint)'가 유일합니다. 우리는 해킹을 했고, 세계적 대회에서 우승을 했고, 이런 실제 경험을 가진 기업이 만든 'AI 해커'는 진트'가 국내는 물론 해외서도 처음입니다." 오펜시브 사이버보안 전문 기업 티오리의 박세준 대표는 28일 서울 강남에서 열린 '진트 출시 미디어 간담회'에서 이 같이 밝혔다. 박 대표는 "진트는 세계 최고 수준의 티오리 해커를 AI로 복제한 또 다른 AI 해커다. AI가 공격자의 관점에서 보안 취약점을 선제적으로 찾아내고, 보안 담당자가 진트를 통해 빠르게 조치할 수 있도록 대안을 제시한다"고 설명했다. AI 해커 '진트'는 인간해커에 비해 해킹 실력이 어떨까. 이에 대해 박 대표는 "오락가락할 것 같다. AI 성능이 깜짝 놀랄 때도 있고 그렇지 않을 때도 있다"고 전제하며 "우리 회사의 세계최고 수준 해커와 비교하면 30~40% 수준이다. 하지만 우리 고객사에서 말해준건데, 진트가 쥬니어급 해커들의 수준은 넘어선 것으로 보고 있다. AI가 발전하는 속도가 너무 빠르고 또 우리가 계속해 튜닝을 하고 있기 때문에 그 속도는 더 빨라질 것으로 본다"고 말했다. '진트'에 대해 박 대표는 "사람과 비슷한 맥락과 이해력을 바탕으로 공격 시나리오 제안, 대규모 자산을 연속적으로 점검할 수 있다"며 "기존의 보안 체계는 제로데이 취약점 등 새로운 위협에 대해서는 유연한 대응에 한계가 있다. 하지만 진트는 취약점 목록이 아니라 화이트 해커들이 직접 취약점을 찾아낸 방법론을 바탕으로 새로운 공격 시나리오를 스스로 짜고 공격자의 관점에서 발견되지 않은 취약점을 찾아내는 것이 가능하다"고 설명했다. 그는 "특히 모의해킹 과정에서 얻어낸 티오리 화이트해커의 노하우도 진트가 학습했으며, 고객사의 서비스가 어떻게 운영되는지 비즈니스 로직도 이해해 취약점을 찾아낸다"며 "기존 보안 점검에는 평균 10~16주의 시간과 고급 전문인력의 투입, 수천만~수억원에 달하는 비용 등의 현실적 어려움이 뒤따랐지만, 진트는 12시간이면 진단을 끝낼 수 있고 구독형의 합리적 비용에 24시간 상시 방어가 가능한 솔루션"이라고 강조했다. 그는 "앞으로 정부 부처뿐 아니라 기업들도 수만개 이상의 시스템을 갖추게 될 것으로 예상되는 만큼 자동화된 보안 패러다임은 필수가 됐다"며 "이번 공식 론칭 이후에는 내년부터 북미 시장에 진출할 계획"이라고 밝혔다. 이날 기자간담회에서는 실제 '진트'가 어떻게 실행되는지도 영상을 통해 소개됐다. 간단하게 진트에 인터넷 주소(URL)을 입력하는 것 만으로 스캔이 시작됐다. 해당 URL의 세부 서브도메인도 표시가 됐으며, 사용자가 점검을 실행할 범위를 설정하면 본격적인 취약점 분석 등 진트가 스스로 공격 시나리오를 구성해 점검을 실시한다. 로그인이 필요한 웹 페이지 역시도 계정 정보를 입력해 놓으면 점검이 가능하다. 스캔이 생성되고 시작 버튼을 누르니 본격적인 점검이 시작됐다. 시작에 앞서 법적으로 진행해도 문제가 없는지 사용자가 소유 및 관리 권한을 가지고 있는 웹 페이지인지 다시 한 번 확인하는 절차도 거친다. 점검 진행 중에는 실시간으로 얼만큼 진행됐는지 진행도를 확인하는 것도 가능하다. 결과값에서는 발견된 엔드포인트 내역, 스캔 진행 로그, 위협 시나리오의 수, 시나리오의 스캔 결과 등을 조회할 수 있다. 취약점 개수와 취약점을 심각도와 카테고리별로 구분돼 있다. 취약점을 빠르게 확인하고 조치할 수 있도록 지원하기 위함이다. 탐지하기 어려운 버그나 다중 방법을 통해 찾아내야 하는 취약점도 진트는 제한된 탐색 범위와 시간 내에 찾아냈다. 이 외에도 진트는 별도의 설치 없이도 서비스형 소프트웨어(SaaS) 형태로 제공돼 솔루션 도입 시에도 편리함까지 갖췄다. 다음은 진트 관련 질의응답. - 진트가 발견한 취약점에 대해 패치를 적용하는 점에 있어서는 사람의 손길이 필요한지 "진트가 도출한 결과보고서를 보고 취약점을 패치하는 것은 사람의 영역이다. 대신 취약점 탐지 및 발견 과정에서 사람보다 효율적으로 결과를 도출할 수 있다." - 국내 첫, 전 세계 최초 AI 해커 사례로 볼 수 있는지 "AI를 활용해 모의해킹을 하는 시도 자체는 국내에선 최초다. 전 세계 기준으로는 공식적인 런칭 기준으로 하면 최초는 아니다." - 진트를 티오리 내 사람 해커와 비교하면 어느 정도 수준인지 "티오리 내부 기준으로 하면 진트는 30~40% 수준이다. 어느 AI든 사람도 놀랄 정도로 뛰어난 결과값을 도출할 때도 있고, 어떤 때는 어리석은 답변을 내놓을 때도 있다. 이 평균점을 끌어 올리는 작업을 진행 중이다. 하지만 실제 진트를 사용해본 고객사 중 한 곳은 보안컨설팅을 받아온 다른 업체와 견줘도 손색이 없을 정도라는 후기를 남겼다. 오히려 디테이한 보고서가 나오는 등 만족도도 높다는 의견도 나온다. 이미 주니어 해커의 영역을 넘어선 것으로 본다. - 북미 성공 전략은 "티오리는 처음부터 세계 무대에서 경쟁해 온 기업이다. 대회가 모든 것을 증명하지 않지만 세계 최대 보안 대회에서도 우수한 성적을 거뒀고, 이런 기술을 바탕으로 북미 시장에서도 성공할 가능성은 있다고 본다. 현지와의 차원에서 미국의 개발부터 세일즈까지 전 영역에 걸친 팀이 있다. 한국 팀과의 공통적인 성과를 도출하기 위해 노력 중이다." - 진트의 발전 로드맵은 어디까지인지 "현재 웹 환경에서 취약점을 탐지하고 찾아내는 솔루션을 선보인 것이고, 사실 진트는 소스코드에서 취약점을 찾아내는 버전도 있다. 궁극적으로는 코드 개발부터 동적 환경 테스팅, 운영 및 관리 측면에서 공격 표면 관리 쪽으로의 확장을 계획하고 있다." - 서비스형 소프트웨어(SaaS) 형태로 진트가 공급되는데, 가격 정책은 어떻게 되는지. 일회성으로도 사용할 수 있을 것 같은데 이 부분에 대한 구성은? "진트는 월 단위 구독형 모델로 제공된다. 일회성으로 사용하는 모델도 계획돼 있지만 현재는 제공 중이지 않다. 월 단위로 슬롯이 정해져 있고, 점검 슬롯 개수마다 가격대가 다르다. 추가 슬롯을 구매하길 원하면 10개까지도 자산 규모에 따라 선택해 구독할 수 있는 구조다." - 특별히 진트의 수요가 높은 산업계는? "진트가 제공하는 공격자 관점의 보안, 사전에 취약점을 탐지하고 패치하는 오펜시브 보안은 사실 산업군을 불문하고 필요한 영역이다. 특히 IT 자산이 많을 수록 중요도는 더욱 높아진다. 실제로 진트에 관심을 갖는 산업군도 다양하게 분포돼 있다."
