RSAC 2025 행사장에 마련된 RSAC 얼리 스테이지 엑스포(RSAC Early Stage Expo)는 정보 보안 분야의 신흥 기업을 조명하기 위한 전시 공간이다. 2층 부스 공간에 빼곡히 자리한 수십 개 스타트업 중 API 및 애플리케이션 보안 분야에서 벤처 캐피털의 투자를 받은 일부 업체가 특히 눈에 띄었다. 이들 기업은 AI 기반 보안 설계 검토, 워크플로우 분석, 의존성 그래프 작성, 런타임 탐지 및 대응 등 애플리케이션 생애주기의 모든 단계에 보안을 내재화한 것이 특징이다.

악토닷아이오

악토닷아이오(Akto.io)는 가시성, 테스트, 위험 관리 등 API 보안 전반의 주요 과제를 해결하는 API 보안 플랫폼을 제공한다. 첫 단계는 기업에서 인지하지 못하는 섀도우 API와 좀비 API를 식별한다. 이후에는 여전히 많은 기업에서 수작업으로 진행하는 API 보안 테스트를 자동화해 취약점 탐지 과정을 간소화하는 한편, 런타임 위협 보호 기능도 제공한다. 또한 애플리케이션에서 가장 위험도가 높은 API를 식별하고 우선순위를 정하는 API 보안 태세 관리 기능을 갖추고 있다. 이를 통해 보안팀은 개선이 시급한 부분에 집중해 효과적으로 대응할 수 있다.

악토는 API 취약점 식별, 위험 수준 평가, 잠재적인 노출 가능성 탐지를 통해 모니터링을 강화한다. 1,000개 이상의 테스트 케이스를 실행해 인증 오류나 권한 부여 결함과 같은 주요 문제를 찾아내며, CI/CD 파이프라인에 원활하게 통합돼 개발 전 단계에서 API 보안을 자동화할 수 있도록 지원한다. 또한 플랫폼은 에이전틱 AI(agentic AI)를 활용해 API 식별, 보안 테스트, 상태 관리 기능을 향상시킨다. 이를 통해 오탐지를 줄이고 결과의 심도와 정확도를 개선하며, 개발 생애주기 전반에 걸쳐 일관되고 효과적인 보안 기능을 제공한다.

앱센티널

앱센티널(AppSentinels)은 애플리케이션 생애주기 전반에 걸쳐 애플리케이션 워크플로우와 활동을 분석하는 API 보안 플랫폼을 제공한다. 애플리케이션 내 데이터 흐름과 사용자 행동 등의 워크플로우를 분석해 취약점을 테스트하고 운영 환경에서 발생할 수 있는 복잡한 비즈니스 로직 공격을 방어한다. 플랫폼은 그래프 로직, 비지도 클러스터링, 상태 공간 모델(State Space Mmodel) 등 고도화된 AI 모델을 활용해 애플리케이션 기능과 내부 프로세스를 정밀하게 매핑하고, 이를 기반으로 정교한 위협을 탐지하고 차단한다.

앱센티널의 CEO 겸 공동 설립자인 푸닛 툴리아니는 “앱센티널은 매달 1,000억 건의 API 호출을 보호하며, 향후 4~6개월 내 이를 5,000억 건으로 확대하는 것을 목표로 하고 있다”라고 말했다. 툴리아니에 따르면, 지난해 앱센티널의 주요 제품 개선 사항으로는 테스트 케이스를 활용해 워크플로우의 비즈니스 로직을 더 깊고 정밀하게 이해하는 기능, 사람의 개입 없는 24/7 지속적인 침투 테스트 수행 기능, 그리고 외부와 인라인 모두에서 동작하는 런타임 보호 기능이 포함된다. 툴리아니는 “현재 고객의 가장 큰 우려는 비즈니스 및 금전적 사기이며, 앞으로 이 분야에 더 많은 역량을 집중할 계획이다”라고 전했다.

오르바

오르바(Aurva)는 애플리케이션 실행 시 민감한 데이터를 보호하는 보안 플랫폼이다. 데이터 사용 방식, 접근 주체, 조직 내외부로의 데이터 흐름을 실시간으로 모니터링한다. 모델 계층 AI 보안, 데이터베이스 활동 모니터링, 런타임 데이터 보안 상태 관리, 데이터 흐름 모니터링을 결합해 데이터 접근 패턴과 이동 경로에 대한 가시성을 제공한다.

윈도우가 아닌 환경에서는 eBPF를 활용해 인라인 방식이 아닌 데이터 패킷을 모니터링해 높은 속도와 낮은 지연 성능을 구현한다. 윈도우 환경에서는 에이전틱스(Agentix) 기반의 경량화된 커스텀 에이전트를 사용해 동일한 기능을 제공한다. 오르바는 일부 고객의 경우 하루 10억 건 이상의 쿼리를 처리하며, 복잡한 환경에서 데이터 접근과 흐름에 대한 통합적인 인사이트를 제공하는 동시에 시스템 성능에 미치는 영향을 최소화한다.

이스케이프

이스케이프(Escape)는 전통적인 보안 툴이 놓치기 쉬운 복잡한 비즈니스 로직 취약점을 탐지하고 우선순위를 지정하도록 설계된 동적 애플리케이션 보안 테스트(Dynamic Application Security Testing, DAST) 플랫폼이다. 단순히 헤더 누락과 같은 표면적인 결함에 집중하는 것이 아니라, 객체 수준 권한 부여 오류, 안전하지 않은 직접 객체 참조, 접근 제어 문제 등 더 깊은 수준의 취약점을 식별하고 분류한다.

이스케이프는 다양한 방법으로 API 엔드포인트를 식별한다. 노출된 웹 코드를 분석하고, 맞춤형 크롤러로 도메인을 크롤링하며, 깃허브와 깃랩 리포지토리와 직접 연동해 소스 코드에서 API를 탐색한다. API를 찾은 이후에는 SQL 인젝션, 중간자 공격과 같은 고전적인 취약점부터 고도화된 비즈니스 로직 공격에 이르기까지 폭넓은 공격 시나리오를 생성한다. 이후에는 전통적인 보안 점수, 악용 가능성, 환경별 위험도 등을 반영한 심각도 매트릭스를 기반으로 발견된 취약점을 비즈니스 영향도에 따라 우선순위화한다.

또한 개발 프레임워크별로 최적화된 코드 스니펫을 제공해 개발자가 더 신속하게 수정할 수 있도록 지원한다. 최신 데브섹옵스(DevSecOps) 워크플로우와 효과적으로 통합됨으로써 보안팀과 엔지니어링팀 간의 마찰을 최소화한다.

레이븐

레이븐(Raven)은 런타임 중심의 애플리케이션 보안 접근 방식을 제공한다. 기업이 프로덕션 환경에서 코드를 분석하고 실질적인 위험이 없는 오픈소스 취약점의 최대 97%를 자동으로 우선순위에서 제외할 수 있도록 지원한다. 코드 기능 단위에서 실시간으로 분석을 수행해 실제 애플리케이션 런타임 환경에서 악용할 수 있는 취약점만을 식별한다. 레이븐 플랫폼의 핵심은 독자적인 eBPF 센서다. OS부터 애플리케이션 레이어까지 전체 스택을 코드 삽입이나 추가 계측 없이 모니터링한다. 이 센서는 실제로 사용 중인 라이브러리와 함수만을 추적해 불필요한 경고를 줄이고, 실제 위험도를 정확하게 파악할 수 있도록 한다.

또한 레이븐은 전문 엔지니어가 지원하는 에이전틱 AI 시스템을 활용해 오픈소스 라이브러리의 취약한 함수를 사전에 분석한다. 이를 고객의 실시간 애플리케이션 동작과 대조함으로써 라이브러리 수준의 위험 평가를 가능하게 한다. 또한 종종 숨겨져 있지만 위험할 수 있는 전이적 의존성도 레이븐의 런타임 의존성 그래프에서 추적 및 분석되기 때문에 기업은 잠재된 취약점을 조기에 식별할 수 있다. 레이븐은 이런 취약점을 발견한 후 개선 방안을 제시하고, 런타임 탐지 및 대응 기능도 제공한다. 회사 측은 “운영 중 발생하는 이상 징후를 조기에 감지해 보안팀이 신규 위협에 훨씬 더 신속하게 대응할 수 있도록 지원한다”라고 설명했다.

씰 시큐리티

씰 시큐리티(Seal Security)는 오픈소스 라이브러리의 최신 보안 패치를 구버전에서도 사용할 수 있도록 역호환성을 제공함으로써 오픈소스 취약점 패치 과정을 간소화한다. 이 독립형 패치는 빌드 프로세스에 통합되므로 개발자는 별도의 업데이트를 추적하지 않아도 자동으로 취약점을 해결할 수 있다. 개발팀과 보안팀 간의 조율 시간을 줄이는 데도 기여한다. 씰 시큐리티의 CEO 겸 공동 설립자인 이타마 셰어는 “지난해 애플리케이션 보안을 넘어 두 가지 분야로 사업 영역을 확장했다. 하나는 오픈소스 OS 보안, 다른 하나는 컨테이너 이미지 보안이다. 현재 이 세 가지 기능을 모두 통합한 패키지를 제공한다”라고 말했다.

셰어는 “OS에서 씰 시큐리티가 보안 패치를 감지하면, 사용자는 단 한 번의 클릭만으로 해당 환경에 맞는 최신 패치를 배포할 수 있다”라고 설명했다. 씰 시큐리티는 빌드 체인에 포함된 모든 오픈소스 구성 요소가 안전하고 신뢰할 수 있는 소스에서 제공되는지 확인한다. 고객이 컨테이너 베이스 이미지를 가져오면 3일 이내에 취약점이 없는 버전으로 만들 수 있도록 지원한다. 씰 시큐리티가 지원하는 프로그래밍 언어는 기존 5개에서 지난해 8개로 확대했다. 현재 자바, C#(.NET), 파이썬, 자바스크립트, C, C++, PHP, 루비를 지원한다.

시조

시조(Seezo)는 개발자가 코드를 작성하기 전 단계에서부터 보안을 고려할 수 있도록 지원하는 AI 기반 보안 설계 검토(Security Design Review, SDR) 플랫폼을 제공한다. 엔지니어링팀이 새로운 기능을 개발하기 전에 진행하는 보안 설계 검토 작업을 자동화한다. 기존에는 수작업과 많은 리소스가 필요한 과정이었지만, 이를 AI로 간소화해 소프트웨어 개발 생애주기에서 보안 적용 시점을 한층 앞당긴다.

현재 애플리케이션 보안 인력은 매우 부족한 상황이다. 업계 평균에 따르면 개발자 100명당 보안 전문가는 단 2명에 불과하다. 시조는 이런 인력 한계를 보완하기 위해 AI를 활용한다. 설계 문서, 지라 티켓, 제품 요구 사항 문서, 아키텍처 다이어그램 등을 분석해 코드 작성 전 개발자에게 맞춤형 보안 요구 사항을 자동으로 제시한다. 회사 측은 “이 같은 조기 개입으로 개발 파이프라인 이후 단계에서 발생할 수 있는 취약점 발생을 대폭 줄일 수 있다”라고 설명했다. 현재 수작업 보안 검토는 신규 기능의 약 10~15%만을 대상으로 진행된다. 시조는 별도의 인력 확충 없이 100%까지 확대하는 것을 목표로 한다.

시조는 특정 LLM에 종속되지 않으며, SaaS 및 온프레미스 환경 모두에서 유연하고 효율적인 성능을 제공한다. 설계 단계에서 맥락 기반 보안 가이드를 자동으로 생성해 제품 설계와 안전한 구현 간의 간극을 해소하고, 이를 통해 개발자가 처음부터 안전한 코드를 작성할 수 있도록 지원한다.
dl-itworldkorea@foundryco.com