김과장
AI 뉴스 목록
2026-03-18AI 보안침투 테스트오픈소스AI 에이전트보안 도구Docker

해커를 고용하지 않아도 AI가 보안 점검을 해준다 — PentAGI, 깃허브 스타 1만 개 돌파

AI 에이전트 3명이 팀을 이뤄 해킹 시뮬레이션을 자동으로 수행하는 오픈소스 보안 도구 PentAGI가 깃허브 스타 1만 개를 넘었습니다. Docker 하나면 설치 완료, 20가지 이상의 전문 보안 도구를 AI가 직접 조합해서 사용합니다.

회사 웹사이트에 보안 구멍이 있는지 확인하려면, 보통 수천만 원을 들여 전문 해커(침투 테스터)를 고용해야 합니다. PentAGI는 이 일을 AI가 대신 해주는 오픈소스 도구입니다. 깃허브 스타 9,954개, 포크 1,200개를 넘기며 보안 업계의 주목을 받고 있습니다.

PentAGI 작동 원리 — AI 에이전트 기반 자동화 침투 테스트

AI 해커 3명이 팀을 이뤄 보안 점검을 한다

PentAGI 안에는 역할이 다른 AI 에이전트 3명이 들어 있습니다.

🔍 연구원(Researcher) — 대상 시스템의 정보를 수집하고, 알려진 취약점 데이터베이스를 검색합니다. 마치 해커가 공격 전에 정보를 모으는 '정찰' 단계를 자동으로 수행합니다.
💻 개발자(Developer) — 발견된 취약점을 실제로 공격하는 코드를 작성합니다. 사람이 직접 코딩하던 부분을 AI가 대신합니다.
⚡ 실행자(Executor) — 작성된 공격 코드를 안전한 가상 환경(Docker 컨테이너) 안에서 실행하고 결과를 기록합니다.

이 3명이 서로 대화하면서 자동으로 보안 점검을 진행합니다. 사람은 "이 웹사이트를 점검해줘"라고 지시만 하면 됩니다.

20가지 전문 해킹 도구를 AI가 직접 골라서 사용

보안 전문가가 쓰는 도구들을 AI가 상황에 맞게 조합해서 사용합니다.

  • nmap — 서버의 열린 포트(외부에서 접근 가능한 통로)를 스캔
  • sqlmap — 데이터베이스 해킹 가능성(SQL 인젝션)을 자동 탐지
  • metasploit — 알려진 보안 취약점을 실제로 공격해보는 도구
  • 그 외 20가지 이상의 전문 도구를 상황에 따라 자동 선택

실제 테스트에서 PentAGI는 웹 애플리케이션의 SQL 인젝션(데이터베이스를 외부에서 조작할 수 있는 치명적 취약점)을 발견하고, 관리자 계정의 비밀번호까지 추출하는 데 성공했습니다. 실제 보고서 예시에서 그 과정을 확인할 수 있습니다.

PentAGI 실제 UI — AI가 보안 점검을 수행하는 채팅 화면

ChatGPT, Claude, 무료 모델까지 — 원하는 AI를 골라 쓴다

PentAGI는 10가지 이상의 AI 모델을 지원합니다.

지원 AI 모델 목록:

  • OpenAI (GPT-4o, GPT-5 등)
  • Anthropic (Claude)
  • Google Gemini
  • AWS Bedrock
  • DeepSeek
  • Ollama (내 컴퓨터에서 무료로)
  • Qwen (알리바바)
  • OpenRouter
  • DeepInfra
  • 직접 만든 모델도 연결 가능

특히 Ollama를 통해 내 컴퓨터에서 무료 AI 모델(예: Qwen 3.5 27B)을 돌릴 수 있어서, API 비용 없이 보안 점검이 가능합니다. 실제로 Qwen 3.5 모델로 테스트한 결과, 상용 모델 대비 시간은 2~3배 더 걸리지만 결과 품질은 2배 향상되었다고 합니다(실행 모니터링 기능 활용 시).

AI가 기억하고 학습한다 — 지식 그래프 기반 메모리

PentAGI의 또 다른 강점은 기억력입니다. Neo4j(그래프 데이터베이스)와 Graphiti(지식 그래프 도구)를 활용해서 과거에 성공했던 공격 방법을 기억합니다.

예를 들어, A 사이트에서 SQL 인젝션을 발견한 경험이 있으면, 비슷한 구조의 B 사이트를 점검할 때 그 경험을 바로 활용합니다. 쓸수록 똑똑해지는 보안 도구인 셈입니다.

Docker 한 줄이면 설치 완료

설치 방법은 간단합니다. Docker만 있으면 됩니다.

# 1. 저장소 다운로드
git clone https://github.com/vxcontrol/pentagi.git
cd pentagi

# 2. 환경 설정 파일 복사
cp .env.example .env

# 3. .env 파일에서 AI 모델 API 키 입력 후 실행
docker compose up -d

실행하면 웹 브라우저에서 접속할 수 있는 대시보드가 열립니다. 여기서 "이 IP 주소의 보안을 점검해줘"라고 입력하면 AI가 자동으로 작업을 시작합니다.

모든 작업은 Docker 컨테이너 안에서 격리되어 실행되므로, 내 컴퓨터나 네트워크에는 영향이 없습니다.

전문 해커 고용 비용 vs AI 보안 점검

일반적으로 외부 침투 테스트를 의뢰하면 건당 1,000만~5,000만 원이 들고, 2~4주가 걸립니다. PentAGI를 자체 서버에 설치하면 AI 모델 API 비용(OpenAI 기준 건당 수천 원~수만 원)만으로 비슷한 점검을 반복 실행할 수 있습니다. Ollama로 무료 모델을 쓰면 비용은 전기세뿐입니다.

물론 AI가 사람 전문가를 완전히 대체하기는 아직 어렵습니다. 하지만 정기적인 기본 보안 점검, 새 기능 배포 전 빠른 체크, 소규모 스타트업의 자체 보안 감사에는 충분히 실용적입니다.

v1.2.0 최신 업데이트 — 추론 모델 지원, 비용 절감

2025년 2월에 출시된 최신 버전 v1.2.0에서는 다음이 추가됐습니다.

  • 추론 모델 지원 — o1, o3 같은 '생각하는' AI 모델로 더 복잡한 공격 시나리오를 계획
  • 토큰 캐싱 — 같은 질문을 반복하지 않아 AI 사용 비용 절감
  • 사용량 분석 대시보드 — 어떤 모델이 얼마나 쓰였는지 한눈에 확인
  • REST API — 다른 보안 도구나 자동화 파이프라인과 연동 가능
  • Langfuse v3 연동 — AI의 판단 과정을 추적하고 디버깅

주의사항 — 허가 없는 시스템에는 절대 사용 금지

PentAGI는 합법적인 보안 점검 용도로만 사용해야 합니다. 자신의 서버, 회사의 시스템, 또는 명시적 허가를 받은 대상에만 사용할 수 있습니다. 허가 없이 타인의 시스템을 테스트하면 법적 처벌을 받을 수 있습니다.

관련 콘텐츠Easy클코로 AI 시작하기 | 무료 학습 가이드 | AI 뉴스 더보기

출처

AI 소식, 가장 빠르고 쉽게 받아보세요

누구나 이해할 수 있도록, 가장 자세하고 쉽게 알려드립니다

텔레그램 채널 구독