오픈소스 AI 보안점검, 이제는 불편할 만큼 정교해졌다

[서울=뉴스닻] 이재진 기자 = 오픈소스 AI 기반 보안 점검 도구들이 빠르게 진화하면서, 사이버 보안 업계 안팎에서 적잖은 긴장감이 감돌고 있다. 이제 AI는 단순히 시스템을 훑는 수준을 넘어, 사람 보안 전문가처럼 사고하고 판단하며 실제 공격 시나리오를 재현하기 시작했다.

Image by Imagen 4.0 Ultra

보안 업계에서는 이를 펜테스팅(penetration testing), 즉 해커의 시선으로 시스템을 점검해 보안 취약점을 미리 찾아내는 ‘모의 해킹’이라 부른다. 과거에는 숙련된 전문가의 영역이었지만, 최근에는 오픈소스 AI 도구들이 그 문턱을 급격히 낮추고 있다.

조용히 위험 신호를 짚어내는 AI

BugTrace-AI는 공격을 직접 실행하지 않는 대신, 웹사이트 구조와 코드, 서버 응답을 분석해 “문제가 될 가능성이 있는 지점”을 찾아낸다.
예를 들어 데이터베이스 정보를 빼낼 수 있는 SQL 인젝션이나, 웹페이지에 악성 코드를 심는 XSS(크로스사이트 스크립팅) 가능성을 지적하고, 왜 위험한지까지 설명한다.

실제 공격은 사람이 직접 해야 하기 때문에 서비스 장애 위험이 적고, 운영 중인 시스템과 유사한 환경에서도 비교적 안전하게 활용할 수 있다는 점이 장점이다. 다만 AI가 제시한 단서가 실제 취약점인지 최종 판단하는 책임은 여전히 사람에게 있다.

스스로 침입해 증거를 남기는 AI

Shannon은 정반대의 접근을 택한다. 취약점이 의심되면 실제로 로그인을 우회하거나 데이터를 탈취해, 공격이 성공했음을 화면 캡처와 로그로 입증한다. 테스트 환경에서 이 도구는 약한 인증 구조를 스스로 분석해 내부 데이터에 접근했고, 결과를 자동으로 정리해 제시했다.
“가능성”이 아니라 “이미 뚫렸다”는 점을 바로 보여준다는 점에서 위협적이다.

다만 특정 유형의 대표적인 공격에 집중하다 보니, 서비스 운영 방식에서 발생하는 복잡한 논리적 오류나 설정 문제까지 포착하는 데는 한계가 있다.

원하는 대로 조합하는 보안 AI 프레임워크

CAI(Cybersecurity AI Framework)는 하나의 완성된 도구라기보다, 보안용 AI를 직접 설계할 수 있는 프레임워크에 가깝다. 기존 네트워크 스캔 도구나 웹 분석 도구를 AI와 결합해, 상황에 맞는 보안 분석 에이전트를 만들 수 있다.

웹 서비스뿐 아니라 기업 내부 네트워크, 클라우드 환경, 악성코드 분석 등으로 확장이 가능해 활용 범위가 가장 넓다. 다만 설정 난이도가 높고, 잘못 구성할 경우 AI가 같은 판단을 반복하는 오류가 발생할 수 있어 전문적인 관리가 필요하다.

사람을 대체하진 않지만, 무시할 수 없는 단계

이들 도구는 아직 인간 보안 전문가를 완전히 대체하지는 못한다. 그러나 몇 달이 걸리던 점검을 몇 시간 만에 수행하고, 비용도 몇 달러 수준으로 낮췄다는 점에서 의미는 크다.

보안 업계에서는 이제 AI를 쓸 것인가 말 것인가의 문제가 아니라, 어디까지 맡기고 어떻게 통제할 것인가가 핵심 과제가 되고 있다. AI가 보안의 문턱을 낮추는 동시에, 공격 기술 역시 빠르게 대중화되고 있다는 점에서 긴장감은 더욱 커지고 있다.