AI와 클라우드 기반 보안 위협이 날로 정교해지는 가운데, 보안 스타트업 오퍼런트AI(Operant AI)가 이를 정면 돌파할 새로운 오픈소스 솔루션을 공개했다. 이 회사는 21일(현지시간) 자동화된 레드팀 도구 ‘우드페커(Woodpecker)’를 출시하며, 기업 규모와 관계없이 고급 보안 테스트를 가능케 하는 환경을 조성하겠다는 목표를 밝혔다.
우드페커는 실제 해커의 공격을 시뮬레이션하는 자동화된 레드팀 도구로, 특히 클라우드 네이티브 애플리케이션과 인공지능 기술을 겨냥해 설계됐다. 대규모 언어모델(LLM)과 자율 에이전트를 활용하는 기업이 늘고 있는 상황에서, AI 관련 취약점은 악성 공격자들의 새로운 타깃으로 부상하고 있다. 이에 따라, 기존의 패시브한 방어 전략만으로는 한계를 드러내고 있다는 것이 업계 안팎의 공통된 우려다.
오퍼런트AI는 고급 보안 테스트가 특정 대기업만의 전유물이 되어선 안 된다는 점을 강조하며, 이를 오픈소스로 풀어낸 데에 의의를 두고 있다. 브라제시 바브사르(Vrajesh Bhavsar) 최고경영자(CEO)는 “보안 취약점은 기업 규모나 자본 여하를 가리지 않는다”며 “우리는 우드페커를 통해 누구나 사용할 수 있는 엔터프라이즈급 보안 테스트 도구를 만들었다”고 밝혔다.
현재 우드페커는 애플리케이션 인터페이스(API), 쿠버네티스, 대규모 언어모델을 포괄하는 주요 위협에 대한 시뮬레이션을 제공하고 있다. 특히 OWASP(Open Worldwide Application Security Project)의 ‘톱 10’ 위협 가운데 절반 이상을 커버하면서, 상용 레드팀 솔루션과 비교해도 경쟁력이 있다는 평가다.
기술적으로는 쿠버네티스 환경 내에서 잘못된 설정이나 권한 상승 경로, 불안전한 배포 방식 등을 탐지하며, API 영역에서는 인증, 엔드포인트 보호, 데이터 처리상 결함 여부를 점검한다. 인공지능 시스템에 대해선 프롬프트 인젝션, 데이터 중독, 머신러닝 특유의 섬세한 위협까지 자동으로 점검이 가능하다.
우드페커는 현재 깃허브에 오픈소스 프로젝트로 등록돼 누구나 사용 가능하다. 정교한 보안 테스트를 자동화하면서도, 복잡한 설정이나 고가의 솔루션이 필요 없다는 점에서 중소기업이나 스타트업 보안팀의 부담을 크게 덜 수 있을 것으로 기대된다. 클라우드와 AI 시대에 맞춘 실전형 보안 전략의 수요가 높아지는 만큼, 우드페커는 디지털 보안의 평준화를 이끄는 새 이정표로 자리매김할 가능성이 크다.