.gif)
“좋은 AI 모델 쓰는 것보다 ‘전체 보안 시스템 설계 능력’”
“1년 내 다가올 AI 공격 대중화, 방어 골든타임 지금”
[보안뉴스 강현주 기자] 오펜시브 사이버 보안 전문 기업 티오리(대표 박세준)가 자사의 AI 기반 코드 분석 솔루션 ‘진트 코드’(Xint Code)가 ‘미토스’가 놓친 취약점 12개를 발견하는 성과를 냈다고 29일 밝혔다.
티오리는 최근 이 같은 내용을 담은 백서를 발행했다. 백서는 향후 6~18개월 내 공격자들이 고성능 AI를 활용한 사이버 공격에 나설 것이라는 경고와 함께 이에 대응할 수 있는 방어 기술력을 소개한다.
[출처: 티오리]
티오리는 이번 백서에서 앤트로픽의 ‘클로드 미토스’(Claude Mythos) 사례를 분석하며, 현재 일부 조직에만 제한적으로 제공되는 강력한 취약점 탐지 및 익스플로잇(Exploit) 능력이 향후 6~18개월 내에 보편화될 것이라고 전망했다.
이는 머지않아 공격자들 역시 특수 모델 없이도 오픈소스나 상용 AI를 활용해 국가 주요 인프라나 기업의 소스코드를 대대적으로 공격할 수 있는 역량을 갖추게 됨을 시사한다.
티오리는 “공격자가 AI 무기를 손에 넣기 전, 그보다 앞선 방어 체계를 구축하는 것이 그 어느 때보다 시급한 시점”이라며 보안 업계의 패러다임 전환을 촉구했다.
이러한 위협에 대한 구체적인 해법으로 티오리는 자사의 AI 기반 코드 분석 솔루션 ‘진트 코드’의 성능 실증 결과를 제시했다. 티오리 연구진은 미토스가 테스트했던 동일한 코드베이스(FreeBSD, OpenBSD, FFmpeg, Firecracker)를 대상으로 진트 코드를 적용했다.
그 결과 △앤트로픽이 공개한 주요 취약점 4건을 완벽히 재현 △같은 코드베이스에서 미토스가 발견하지 못한 12건의 제로데이 취약점을 추가로 식별 △미토스와 같은 특수 접근권 없이도 클로드 오퍼스 4.6, GPT 5.4 등 공개된 상용 모델만을 활용해 더 높은 탐지율을 기록했다.
이는 단순히 좋은 AI 모델을 쓰는 것보다 ‘전체 보안 시스템의 설계 능력’이 보안의 핵심임을 입증한 것이라는 게 티오리의 설명이다. 방대한 소스코드를 분석하고 오탐을 걸러내며 실제 패치 가능한 형태로 결과를 도출하는 능력이다.
티오리는 앤트로픽의 모델이 전문가 21명의 수동 운영에 의존하고 패치 완료율이 1% 미만인 점을 지적했다. 실제 기업 환경에서는 진트 코드와 같은 고도화된 엔지니어링 기반의 자동화 솔루션이 필수적이라고 강조했다.
박세준 티오리 대표는 “AI 기술의 발전으로 공격과 방어의 속도전이 시작되었다”며 “공격자에게 주도권을 내주지 않기 위해서는 검증된 AI 보안 시스템을 통해 선제적으로 취약점을 관리해야 한다”고 밝혔다.
티오리는 이번 백서의 국문 전문을 공개하고, 기업들이 즉각적으로 AI 방어 체계를 시뮬레이션해 볼 수 있도록 진트 코드의 기술 검증(PoC)과 실제 도입을 적극 지원할 예정이다.
티오리는 오펜시브 사이버보안 전문 기업으로 구글, 마이크로소프트, 옥타, 삼성전자를 비롯한 국내외 주요 기업 및 기관에 △보안 컨설팅을 제공하고 있으며 △AI 해커 ‘진트’(Xin) △LLM 보안 솔루션 ‘알파프리즘’(αprism) △회원 8만명 이상의 사이버보안 교육 플랫폼 ‘드림핵’(Dreamhack) 등을 운영하며 실전 중심의 기술력으로 보안 생태계 확장에 앞장서고 있다.
[강현주 기자(jjoo@boannews.com)]
“1년 내 다가올 AI 공격 대중화, 방어 골든타임 지금”
[보안뉴스 강현주 기자] 오펜시브 사이버 보안 전문 기업 티오리(대표 박세준)가 자사의 AI 기반 코드 분석 솔루션 ‘진트 코드’(Xint Code)가 ‘미토스’가 놓친 취약점 12개를 발견하는 성과를 냈다고 29일 밝혔다.
티오리는 최근 이 같은 내용을 담은 백서를 발행했다. 백서는 향후 6~18개월 내 공격자들이 고성능 AI를 활용한 사이버 공격에 나설 것이라는 경고와 함께 이에 대응할 수 있는 방어 기술력을 소개한다.
[출처: 티오리]
티오리는 이번 백서에서 앤트로픽의 ‘클로드 미토스’(Claude Mythos) 사례를 분석하며, 현재 일부 조직에만 제한적으로 제공되는 강력한 취약점 탐지 및 익스플로잇(Exploit) 능력이 향후 6~18개월 내에 보편화될 것이라고 전망했다.
이는 머지않아 공격자들 역시 특수 모델 없이도 오픈소스나 상용 AI를 활용해 국가 주요 인프라나 기업의 소스코드를 대대적으로 공격할 수 있는 역량을 갖추게 됨을 시사한다.
티오리는 “공격자가 AI 무기를 손에 넣기 전, 그보다 앞선 방어 체계를 구축하는 것이 그 어느 때보다 시급한 시점”이라며 보안 업계의 패러다임 전환을 촉구했다.
이러한 위협에 대한 구체적인 해법으로 티오리는 자사의 AI 기반 코드 분석 솔루션 ‘진트 코드’의 성능 실증 결과를 제시했다. 티오리 연구진은 미토스가 테스트했던 동일한 코드베이스(FreeBSD, OpenBSD, FFmpeg, Firecracker)를 대상으로 진트 코드를 적용했다.
그 결과 △앤트로픽이 공개한 주요 취약점 4건을 완벽히 재현 △같은 코드베이스에서 미토스가 발견하지 못한 12건의 제로데이 취약점을 추가로 식별 △미토스와 같은 특수 접근권 없이도 클로드 오퍼스 4.6, GPT 5.4 등 공개된 상용 모델만을 활용해 더 높은 탐지율을 기록했다.
이는 단순히 좋은 AI 모델을 쓰는 것보다 ‘전체 보안 시스템의 설계 능력’이 보안의 핵심임을 입증한 것이라는 게 티오리의 설명이다. 방대한 소스코드를 분석하고 오탐을 걸러내며 실제 패치 가능한 형태로 결과를 도출하는 능력이다.
티오리는 앤트로픽의 모델이 전문가 21명의 수동 운영에 의존하고 패치 완료율이 1% 미만인 점을 지적했다. 실제 기업 환경에서는 진트 코드와 같은 고도화된 엔지니어링 기반의 자동화 솔루션이 필수적이라고 강조했다.
박세준 티오리 대표는 “AI 기술의 발전으로 공격과 방어의 속도전이 시작되었다”며 “공격자에게 주도권을 내주지 않기 위해서는 검증된 AI 보안 시스템을 통해 선제적으로 취약점을 관리해야 한다”고 밝혔다.
티오리는 이번 백서의 국문 전문을 공개하고, 기업들이 즉각적으로 AI 방어 체계를 시뮬레이션해 볼 수 있도록 진트 코드의 기술 검증(PoC)과 실제 도입을 적극 지원할 예정이다.
티오리는 오펜시브 사이버보안 전문 기업으로 구글, 마이크로소프트, 옥타, 삼성전자를 비롯한 국내외 주요 기업 및 기관에 △보안 컨설팅을 제공하고 있으며 △AI 해커 ‘진트’(Xin) △LLM 보안 솔루션 ‘알파프리즘’(αprism) △회원 8만명 이상의 사이버보안 교육 플랫폼 ‘드림핵’(Dreamhack) 등을 운영하며 실전 중심의 기술력으로 보안 생태계 확장에 앞장서고 있다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
