/AI Chasm Catalyst
출처 : https://xbow.com/blog/top-1-how-xbow-did-it/
AI가 인간 해커의 영역을 넘어서고 있다. 보안 스타트업 크로스보(XBOW)가 개발한 자율 침투 테스트 시스템 ‘XBOW’가 세계 최대 규모 버그바운티 플랫폼 해커원(HackerOne)에서 미국 리더보드 1위에 올랐다. 이는 버그바운티 역사상 처음으로 완전 자율형 AI가 인간 보안 전문가들을 제치고 최고 순위에 오른 사례다.
◆XBOW, 인간 해커와 실전에서 맞붙다
XBOW는 완전 자율형 AI 기반 침투 테스터로, 별도의 인간 입력 없이 수 시간 만에 수천 개의 웹사이트를 동시 분석·공격해 취약점을 찾아낸다.
초기에는 PortSwigger·PentesterLab 등 기존 CTF 문제로 AI의 실력을 점검했고, 이어 오픈소스 프로젝트 대상으로 제로데이(미공개) 취약점 사냥에 나섰다.
핵심은 진짜 실전 환경―다양한 기술과 구형 시스템, 기업별 정책이 혼재한, 복잡한 현실 속에서 무인 AI가 얼마나 성과를 낼 수 있는지였다.
XBOW팀은 해커원 플랫폼의 공공·비공개 버그바운티 프로그램에 외부 연구원 신분으로 참가, 정정당당하게 경쟁했다
XBOW는 인간의 개입 없이 스스로 웹 애플리케이션을 탐색하고 공격해 보안 취약점을 찾아내는 AI 시스템이다. 수 시간 만에 수천 개의 타깃을 동시 분석할 수 있을 만큼 확장성과 효율성이 높다. 초기에는 PortSwigger, PentesterLab 등 잘 알려진 보안 문제(Capture-The-Flag 문제)로 실력을 점검했고, 이후 실제 오픈소스 프로젝트 대상으로 제로데이(신규) 취약점 탐지 능력을 검증했다. 하지만 가장 중요한 시험대는 실제 기업이 운영하는 복잡한 환경에서 수행되는 블랙박스 테스트였다.
이 AI는 해커원의 공개 및 비공개 목표를 대상으로 외부 보안 연구원처럼 활동했다. 사전 정보 없이 정책과 범위, 도메인 구조를 파악한 뒤, 고가치 타깃을 선별해 공격했다. 정책이 기계에 해석되지 않는 경우에도 대형언어모델(LLM)과 수작업을 결합해 프로세스를 자동화했다. 유사한 도메인을 묶기 위한 콘텐츠 유사도 분석, 시각적 유사성 판단 등도 동원되며 성능을 극대화했다.
무엇보다 주목할 점은 탐지한 취약점을 AI가 스스로 검증한다는 점이다. XBOW는 오탐 문제를 해결하기 위해 발견된 취약점마다 자동화된 ‘검증자(validator)’를 실행한다. 예를 들어 크로스사이트스크립팅(XSS)을 찾아낼 때는 자바스크립트 페이로드가 실제 브라우저에서 실행되는지까지 확인해 정확도를 높였다. 이러한 과정을 거친 모든 취약점은 인간 보안팀의 최종 리뷰 후 해커원에 제출됐다.
◆AI 해커의 무한 확장과 전략
해커원은 수십만 개의 잠재적 타깃 도메인을 제공하지만, 스타트업인 XBOW 입장에선 모든 타깃을 상대할 수 없기에 우선순위화 전략이 핵심.
LLM(대형언어모델)과 수작업 크롤링을 결합해 정책과 범위를 자동 파악 후, 자체 평가시스템으로 고가치 표적을 선별.
도메인 구조 유사성(컨텐츠/이미지 유사도) 분석, SimHash·headless browser 적용 등으로 효율 극대화
XBOW는 최근 90일 동안 총 1,060건의 취약점을 보고했다. 이 중 130건은 취약점 해결이 완료됐으며, 303건은 사실상 인정된 상태에서 해결을 준비 중이다. 또 54건은 ‘치명적’, 242건은 ‘높음’ 단계로 분류됐다. 전체 신고 중 45%는 아직도 기업의 리뷰나 조치가 이뤄지지 않아 XBOW의 보고 규모와 파급력을 방증한다.
이 AI 해커가 실제 환경에서 발견한 가장 의미 있는 취약점은 팔로알토네트웍스의 대표 보안 솔루션 ‘GlobalProtect’에서 찾은 신규 보안 결함이다. 전 세계에 2,000개 이상 운영 중인 호스트에 영향을 미치는 이 취약점은 기존 방화벽(WAF)을 우회하는 고급 공격 기법으로 입증됐으며, 제조사가 즉시 패치에 나섰다. 완전히 자율적으로 탐지하고 검증까지 완료된 사례로, AI의 실전 활용 가능성을 상징적으로 보여준 성과다.
◆정밀 진단과 자동 검증 "발견" 그 이상
AI 자동 스캐닝의 만성적 약점인 '오탐(오검출)'을 제어하기 위해, XBOW는 2중 검증 validator 체계를 도입.
LLM 기반 자동 리뷰와 프로그램화된 체크,
예: XSS 탐지 시 실제 자바스크립트 페이로드가 실행되는지 무인 브라우저로 실시간 확인.
주요 발견 이슈는 모두 각 소프트웨어 벤더가 직접 확인·승인한 실제 버그
◆고도화된 취약점, ‘제로데이’도 사냥…팔로알토 글로벌프로텍트도 뚫렸다
XBOW는 AT&T, 디즈니, 포드, 에픽게임즈 등 다수 기업의 실서비스에서 원격코드실행(RCE), SQL 인젝션, SSRF, XXE, 패스 트래버설, 캐시포이즈닝, 시크릿노출 등 고위험 버그를 공식 신고해 주목받았다.
특히 팔로알토 네트웍스의 대표적 VPN 솔루션 'GlobalProtect'에 다수의 신규 XSS(크로스사이트스크립팅) 취약점을 독자적으로 발견(CVE-2025-0133)해 제조사가 즉시 패치에 나섰다. XBOW는 2,000여 호스트에서 해당 제로데이 버그를 실체적으로 입증했으며, 심지어 최초 WAF(웹방화벽) 패치를 우회하는 새로운 공격벡터까지 신속히 제시해 보안업계에 큰 파장을 일으켰다.
◆AI vs 인간, 현실은 ‘협력’…남은 과제는?
전문가들은 XBOW의 돌풍을 "진짜 위협"이면서도, 여전히 복잡한 커스텀 버그·논리취약점은 인간이 강하다고 평가한다.
해커원 정책상 최종 제출 전 인간 보안팀이 신고를 검토하면서, 완전 'AI 단독' 실전보고는 앞으로가 주목된다.
현 XBOW는 비용, 운영 효율성, 전략적 타깃 선정 등에서 고민이 많다. 하지만 인간과 AI가 상호보완하며 적응해가는 시기가 본격 시작됐다는 데는 이견이 없다.
◆결론
AI가 단순 자동화 수준을 넘어, 실전에서 인간을 뛰어넘는 성과로 보안 분야의 패러다임을 뒤흔들고 있다. XBOW의 1위 등극은 기술적·산업적으로도 새로운 ‘협동의 시대’ 개막 신호탄이자, 앞으로 더 많은 변화의 서막임을 알린 것.
즉, XBOW의 이번 기록은 단순한 기술 실험을 넘어, 보안 업계의 패러다임 변화 가능성을 시사한다. 인간 해커와 AI가 협업 혹은 경쟁하며 공존하는 시대가 본격화되고 있다. 크로스보 측은 향후 XBOW의 기술적 발견을 소개하는 블로그 시리즈를 공개하고, 기업 고객을 위한 맞춤형 데모도 제공할 계획이다.
※ 데모신청도 가능하다.
If your company would like a demo, email us at info@xbow.com.