글로벌 빅테크도 이미 상시 취약점 검증을 기본값으로 놓고 움직입니다. 

구글은 2014년부터 Project Zero라는 전담 연구조직을 두고, 연구자들의 시간을 100% 취약점 발굴과 구조적 보안 개선에 투입해 왔습니다. 구글은 2024년 한 해에만 취약점 보상 프로그램을 통해 전 세계 600명 이상 연구자에게 1,200만 달러에 가까운 보상금을 지급했습니다. 생성형 AI 관련 버그바운티도 별도로 운영하며 150건이 넘는 제보를 받았습니다. 

마이크로소프트는 2018년부터 AI 레드팀을 운영해 왔습니다. 2025년에는 버그바운티 프로그램을 통해 1,700만 달러를 지급하며 외부 연구자들과 함께 취약점 발굴을 강화했습니다. 또 ‘제로데이 퀘스트(Zero Day Quest)’를 통해 클라우드와 AI 분야의 고위험 취약점을 집중적으로 찾았고, ‘보안 미래 구상(SFI, Secure Future Initiative)’ 진행 보고서에서는 이 과정에서 새 취약점 180건을 선제적으로 발견해 대응했다고 밝혔습니다.

여기에 AI가 사이버 공격의 속도를 더 끌어올리고 있습니다. 

엔트로픽(Anthropic)은 2025년 8월 위협 인텔리전스 보고서에서, 클로드코드(Claude Code)가 정찰, 자격증명 수집, 네트워크 침투를 자동화하는 데 쓰이며 여러 국제 조직을 상대로 한 데이터 갈취 작전에 악용됐다고 공개했습니다. 

보고서에는 기술 수준이 높지 않은 공격자도 AI 도움을 받아 랜섬웨어를 개발·판매하는 사례가 담겼습니다. 그리고 2026년 1월 추가 평가에서는 현재 클로드 모델이 수십 대 규모의 네트워크에서 표준 오픈소스 도구만으로 다단계 공격에 성공할 수 있는 수준까지 올라왔다고 설명했습니다. 

AI는 해킹을 완전히 새로 만드는 마법이 아니라, 공격 준비와 실행의 문턱을 낮추고 속도를 높이는 가속기 역할을 하고 있는 것입니다.

이런 환경에서는 수비 방식을 바꿔야 합니다. 상시 침투테스트는 매일 모든 시스템을 뒤흔드는 것이 아닙니다. 

먼저 외부에 노출된 시스템, 중요 데이터, 인증 체계, 협력사 연계 구간 같은 위험이 큰 대상을 항상 최신 상태로 파악해야 합니다. 그 위에 정기 침투테스트, 블라인드 테스트, 레드팀, 버그바운티 등을 겹겹이 얹어야 합니다. 

그리고 가장 중요한 마지막 단계는 조치 후 재검증입니다. 찾고 끝나는 테스트가 아니라, 찾고 고치고 다시 확인하는 루프여야 합니다.

물론 현실적으로 모든 기업이 내부에 전담 레드팀을 꾸릴 수 있는 것은 아닙니다. 구글이나 마이크로소프트처럼 상시로 공격 시나리오를 설계하고, 취약점을 찾고, 재검증까지 수행하는 조직을 두려면 인력과 예산, 운영 경험이 모두 필요합니다. 특히 보안 전담 인력이 많지 않은 기업, 중견·중소기업, 빠르게 서비스를 운영해야 하는 기업일수록 이런 체계를 혼자 만들기 어렵습니다.

그렇다고 상시 검증을 포기할 수는 없습니다. 이럴 때 현실적인 대안이 바로 외부 전문가 활용과 서비스형 침투테스트(Pentest as a Service, PTaaS) 입니다. 상시 침투테스트는 사람만으로도, 툴만으로도 완성되지 않습니다.

caption - 자동화 도구와 전문가의 결합 (Gemini 제작)

자동화된 도구는 넓게 보고 자주 확인하는 데 강합니다. 자산 변화, 외부 노출 상태, 기본 취약점, 반복 확인이 필요한 영역을 빠르게 훑어낼 수 있습니다. 반면 전문 인력은 깊게 파고드는 데 강합니다. 공격자의 시선으로 우회 경로를 찾고, 여러 약점을 연결해 실제 침투 가능성을 검증하며, 비즈니스 로직의 허점이나 권한 오남용처럼 맥락이 필요한 문제를 찾아냅니다. 쉽게 말해, 툴은 넓게 보고, 전문가는 깊게 봅니다. 상시 검증 체계가 제대로 작동하려면 이 둘이 함께 돌아가야 합니다.

필요한 시점마다 전문가의 도움을 받아 침투테스트를 수행하고, 결과를 한 번 보고서로 끝내지 않고 반복 점검과 재검증까지 이어가는 방식입니다. 내부에 큰 레드팀을 두지 못하는 기업도 외부 전문성을 활용해 상시 검증 체계에 가까운 운영 모델을 만들 수 있습니다. 

중요한 것은 조직 형태가 아니라 검증의 지속성입니다. 내부 역량이 부족하다면 전문가와 서비스를 활용해 점검-조치-재검증의 루프를 끊기지 않게 만드는 것이 더 현실적이고 효과적인 해법입니다.