AI 보안 스타트업 ‘그레고 AI’ 출범…블록체인 취약점 재현·검증까지

AI 보안 스타트업 그레고 AI가 정식 출범했다. 이 회사는 기존 인공지능 모델을 활용해 사람의 코드 감사나 기존 자동화 도구가 놓치기 쉬운 ‘치명적 소프트웨어 취약점’을 찾아낸다고 주장했다.

복잡한 의존성 추적으로 취약점 탐지

2024년 설립된 그레고 AI는 자사 기술을 ‘딥 인버리언트 분석’이라고 설명한다. 전체 코드베이스를 훑으며 각 모듈과 의존성이 어떻게 연결되는지 파악한 뒤, 여러 소형 AI 에이전트를 샌드박스 환경에 투입해 서로 다른 경로로 시스템을 추적하는 방식이다.

이 과정에서 특정 에이전트가 취약점으로 보이는 지점을 발견하면 개념증명용 익스플로잇을 직접 구성해 실행한다. 이후 실제로 재현 가능한 버그인지 확인하고, 재현되지 않으면 폐기한다. 단순히 의심 정황만 포착하는 데 그치지 않고 실제 공격 가능성까지 검증하는 구조다.

그레고 AI는 자사가 겨냥하는 버그가 일반적인 코드 리뷰 단계에서 개발자가 쉽게 발견할 수 있는 수준이 아니라고 강조했다. 대형 코드베이스에서는 5개, 6개, 많게는 7개 계층의 의존성이 예상치 못한 방식으로 상호작용할 때 심각한 결함이 드러나는 경우가 많다는 설명이다. 이런 문제는 사람 감사자가 전체 스택을 끝까지 추적하기 어렵고, 기존 정적·동적 테스트 도구도 그 정도 깊이의 논리를 분석하도록 설계되지 않았다는 게 회사 측 주장이다.

‘2770만달러’ 피해 막았다고 주장

회사는 자사 시스템이 한 주요 블록체인 프로토콜의 취약점을 찾아내고 패치를 지원했다고 밝혔다. 이 문제가 악용됐다면 공격자가 2770만달러, 원화 약 412억7000만원을 빼돌릴 수 있었다는 설명이다. 해당 프로토콜의 이름은 공개되지 않았다.

그레고 AI는 이 취약점 제보로 25만달러, 원화 약 3억7248만원의 버그 바운티를 받았다고 밝혔다. 회사는 이를 ‘AI 시스템이 전적으로 발견한 결함’에 지급된 보상 가운데 최대 규모라고 주장했다. 다만 이 기록은 회사 측 설명에 근거한 것으로, 업계 전반의 공인 기준으로 확인된 것은 아니다.

웹3가 첫 실험 무대로 선택된 배경도 제시했다. 암호화폐 프로토콜은 원래 코드 감사를 촘촘히 받는 편이고, 단 한 번의 취약점 누락도 곧바로 자금 손실로 이어지기 때문이다. 보안 성능을 입증하기에 가장 까다로운 시장이라는 의미다.

장기 목표는 금융·의료·정부 시스템

그레고 AI의 장기 목표는 블록체인 보안을 넘어 전통적인 기업용 소프트웨어 시장으로 확장하는 데 있다. 회사는 향후 금융 인프라, 의료 시스템, 클라우드 플랫폼, 정부 및 국방 관련 코드까지 적용 범위를 넓히겠다고 밝혔다.

공동창업자는 최고경영자 저스터스 한나(Justus Hanna)와 최고기술책임자 그레고리오 마스페로(Gregorio Maspero)다. 한나는 글로벌 상위 30위권 버그 바운티 헌터로 소개됐고, 24세인 마스페로는 국가 수학 올림피아드 금메달리스트 경력을 갖고 있다.

회사는 범용 파운데이션 모델 위에 자체 아키텍처와 학습 방법론, 다중 에이전트 샌드박스 오케스트레이션, 자기개선 파이프라인을 구축해 기본 모델이 가진 추론 한계를 넘어서고 있다고 설명했다.

마스페로는 “주요 AI 연구소의 최전선 모델들은 모두 큰 추론 한계를 안고 있다”며 “최대 성능 버전이라 해도 여러 층위의 상호작용 시스템에 걸친 복잡한 논리를 유지하고 추적하는 데 약점이 있다. 그 문제를 우리는 해결했다”고 말했다. 그는 또 주요 AI 연구소 중 한 곳이 이 기술 논의를 위해 접촉해왔다고 밝혔지만, 구체적인 이름은 공개하지 않았다.

보안 시장서 ‘AI 실전성’ 시험대

그레고 AI는 사이버펀드의 투자를 받았고, 버셀의 창업자 겸 최고경영자 기예르모 라우흐(Guillermo Rauch)도 투자자로 참여했다.

이번 출범은 AI가 단순한 코드 보조 도구를 넘어 실제 보안 취약점을 찾아내고 재현까지 할 수 있는지 가늠하는 시험대로 읽힌다. 특히 블록체인처럼 한 번의 실수가 대규모 자금 유출로 이어지는 분야에서 성과를 입증한다면, AI 보안 도구 경쟁은 기업 소프트웨어 전반으로 빠르게 번질 가능성이 크다.