예스위핵, AI 보안 테스트 위한 ‘에이전틱 펜테스트’ 출시

오펜시브 보안 및 노출 관리(Exposure Management) 플랫폼인 예스위핵(YesWeHack)이 자율형 AI 에이전트를 활용하여 조직의 자산을 테스트하고 당일 결과를 제공하는 온디맨드 솔루션 ‘에이전틱 펜테스트(Agentic Pentest)’의 출시를 발표했다.

예스위핵의 광범위한 오펜시브 보안 경험을 바탕으로 설계된 에이전틱 펜테스트는 조직이 취약점을 식별하고, 실제 환경에서의 악용 가능성을 테스트하며, 테스트 범위 내 자산 전반에 걸친 공격 경로(Attack Paths)를 발견할 수 있도록 지원한다.

이 솔루션은 웹 애플리케이션, 모바일 앱, API 및 기타 인터넷 연결 자산에 대한 블랙박스, 그레이박스 및 화이트박스 테스트를 지원한다.

유럽 및 아시아태평양 지역의 오펜시브 보안 선도 기업인 예스위핵은 오픈 웨이트 모델(open-weight models)을 포함하여 공격적 테스트에 사용 가능한 최고 수준의 프론티어 모델(Frontier Models)을 활용한다. 이러한 유연한 접근 방식을 통해 조직은 EU 또는 아시아태평양 지역에서처럼 세계 어디에서든 개발 및/또는 호스팅되는 모델을 사용할 수 있다.

에이전트는 테스트 전반에 걸쳐 고객 시스템의 기밀성, 무결성 및 가용성을 보호하기 위해 예스위핵이 개발한 안전장치 내에서 운영된다.

통합된 취약점 관리

에이전틱 펜테스트는 예스위핵의 광범위한 오펜시브 보안 및 노출 관리 플랫폼에 통합된다.

고객은 에이전틱 펜테스트의 발견 결과를 예스위핵 버그 바운티 프로그램(Bug Bounty Programs)과 완전 자동화된 접근 방식으로는 놓치는 어려운 복잡한 취약점을 발견하는 사람이 수행하는 지속적 침투 테스트(Continuous Pentesting), 취약점 공개 정책(Vulnerability Disclosure Policies) 및 적극적으로 악용되는 CVE를 탐지하는 보안 체크포인트(Security Checkpoints)를 통해 식별된 취약점과 함께 관리할 수 있다.

수정 작업을 더욱 간소화하기 위해 보안 팀은 예스위핵의 자체 선별 팀을 활용하여 보고를 검증, 재현 및 보강하여 오탐(False Positive)을 제로(0)로 보장하는 선택안을 가지고 있다.

예스위핵의 CEO 겸 공동 창업자 기욤 바소울리에(Guillaume Vassault-Houlière)는 “에이전틱 펜테스트는 기존의 사람이 수행하는 침투 테스트보다 설정 및 실행이 훨씬 빠르고 간편하면서도 더 넓은 범위, 뛰어난 확장성, 그리고 더 낮은 비용을 제공한다. 이를 통해 SecOps 팀은 취약점을 더 신속하게 식별하고 수정할 수 있다. 이는 공격자들이 AI로 인해 더욱 강력해지고, 취약점 악용 기회(Exploitation Windows)가 계속해서 줄어들면서 하나의 필수사항이다”고 말했다.

이어 “에이전틱 펜테스트는 당사의 광범위한 오펜시브 보안 및 노출 관리 플랫폼과 함께 공격자와 보조를 맞추고, 주요 위험을 제기하는 취약점을 신속하게 검증하고 우선순위를 지정해줌으로써 잡음(Noise)을 걸러내는 능력을 보안 팀에 제공한다”고 말했다.

또한 “궁극적으로 다양한 오펜시브 보안 전략은 운영 효율성을 주도한다. 버그 바운티와 커뮤니티 전문성은 실무에서 지속적으로 입증된 바와 같이 모든 능동적 접근 방식의 필수적인 기둥으로 남을 것”이라고 강조했다.

주요 특징

· 테스트 진행과 함께 제공되는 검증된 발견 결과를 통한 온디맨드 테스트
· 웹 애플리케이션, 모바일 앱, API 및 기타 인터넷 연결 자산에 대한 블랙박스, 그레이박스 및 화이트박스 테스트
· OWASP Top 10 및 전체 공격 경로를 포함한 고위험 취약점 유형을 대상으로 함
· 발견 결과를 검증, 재현 및 보강하는 선택적 24/7 전문가 선별(Triage) 서비스
· 통합된 사이버 위험 관점과 간소화된 규정 준수를 위한 중앙 집중식 수정 워크플로, 분석 및 내보내기 가능 보고

제공 및 로드맵

에이전틱 펜테스트는 현재 외부 공격 표면(External Attack Surface) 전반의 자산을 테스트하는 데 사용할 수 있으며, 예스위핵은 내부 테스트 범위(Internal Testing Scopes)에 대한 지원을 개발 중이다. 이 솔루션은 프랑스 다국적 기업인 다쏘 시스템즈(Dassault Systèmes)와 사노피(Sanofi), 그리고 여러 CAC 40 기업들에 이미 도입되었다.

이 기능은 2025년에 예스위핵이 인수한 사이버 보안 감사 기업인 세코스트(Sekost)의 고객들이 사용할 수 있게 될 예정이다.

예스위핵 버그 바운티 프로그램에서 생성된 데이터는 에이전틱 펜테스트에서 사용되는 AI 모델을 훈련하는 데 사용되지 않는다.

예스위핵 소개

예스위핵(YesWeHack)은 점점 더 커지는 조직의 공격 표면을 보호하기 위해 통합된 API 기반 솔루션을 제공하는 선도적인 오펜시브 보안 및 노출 관리 플랫폼이다. 예스위핵의 휴먼인더루프(Human-in-the-loop) 모델은 버그 바운티(15만 명 이상의 숙련된 윤리적 해커로 구성된 글로벌 커뮤니티 활용), 자율 침투 테스트(Autonomous Pentest), 지속적 침투 테스트(Continuous Pentesting) 및 통합 취약점 관리를 결합하여 대규모로 민첩하고 철저한 보안 테스트를 제공한다. 고객에는 루이비통(Louis Vuitton), 페레로(Ferrero), 유럽연합 집행위원회(European Commission), 텐센트(Tencent), 로레알 그룹(L’Oréal Groupe) 등이 있다. 또한 ISO 27001 인증, CREST 인증을 획득했으며, 유럽연합 내 서버에서 호스팅되며 GDPR을 완벽히 준수한다.

이 보도자료는 해당 기업에서 원하는 언어로 작성한 원문을 한국어로 번역한 것이다. 그러므로 번역문의 정확한 사실 확인을 위해서는 원문 대조 절차를 거쳐야 한다. 처음 작성된 원문만이 공식적인 효력을 갖는 발표로 인정되며 모든 법적 책임은 원문에 한해 유효하다.