김과장
AI 뉴스 목록
2026-03-26AI 보안오픈소스개발 도구Strix보안 테스트

보안 전문가 고용하면 수백만 원인데 이 AI는 무료로 내 앱을 해킹해본다 — Strix, 깃허브 스타 2만 1천

오픈소스 AI 보안 도구 Strix가 깃허브 스타 2만 1천 개를 돌파했습니다. 실제 해커처럼 앱을 공격하고 취약점을 찾아 증거까지 만들어주며, 한 줄 명령어로 설치할 수 있습니다.

보안 점검을 전문 업체에 맡기면 수백만 원이 듭니다. 그런데 이제 AI가 직접 내 앱을 해킹해서 보안 구멍을 찾아주는 무료 도구가 나왔습니다. Strix는 AI 에이전트(자동으로 작업을 수행하는 AI 프로그램)가 진짜 해커처럼 앱을 공격해보고, 취약점을 찾으면 '이렇게 뚫렸다'는 증거까지 만들어주는 오픈소스 보안 테스트 도구입니다. 깃허브 스타 2만 1,600개, Apache 2.0 라이선스로 누구나 무료로 사용할 수 있습니다.

Strix - AI agents for penetration testing

기존 보안 검사 도구와 뭐가 다른가

기존 보안 스캐너는 코드를 정적으로 분석해서 '여기 위험할 수 있다'고 경고만 합니다. 실제로 뚫리는지는 확인하지 않기 때문에 오탐(가짜 경고)이 70% 이상인 경우가 흔합니다. 개발자는 진짜 문제인지 가짜인지 하나하나 확인해야 합니다.

Strix는 완전히 다릅니다. AI 에이전트가 실제로 앱을 실행하고, HTTP 요청을 보내고, 로그인을 시도하고, 결제 금액을 마이너스로 바꿔보는 등 진짜 해커가 하는 행동을 그대로 따라합니다. 취약점을 찾으면 '이 URL에 이 값을 넣었더니 이렇게 뚫렸다'는 PoC(Proof of Concept, 증명 자료)를 자동으로 생성합니다.

Strix가 실제로 쇼핑 카트의 마이너스 수량 취약점을 발견한 화면

위 스크린샷이 실제 Strix가 찾아낸 취약점입니다. 쇼핑몰 앱에서 장바구니에 마이너스 수량을 넣었더니 주문 금액이 -140.9달러가 되는 치명적 결함을 발견했습니다. 심각도 HIGH, CVSS(취약점 심각성 점수) 7.1점으로 판정되었습니다.

어떤 취약점을 찾아내는가

Strix가 탐지하는 주요 보안 취약점 목록입니다.

1. 접근 제어 결함 — 다른 사용자의 주문 내역이나 개인정보를 URL 숫자만 바꿔서 볼 수 있는 문제(IDOR)
2. 주입 공격 — 검색창이나 입력란에 악성 코드를 넣어 데이터베이스를 조작하는 공격(SQL 인젝션, XSS)
3. 서버 취약점 — 서버가 내부 네트워크에 있는 다른 시스템에 요청을 보내게 만드는 공격(SSRF)
4. 인증 우회 — 로그인 없이 관리자 페이지에 접근하거나, 비밀번호 재설정을 악용하는 공격
5. 비즈니스 로직 결함 — 위 스크린샷처럼 결제 금액을 조작하거나 무한 쿠폰을 만드는 등 앱의 규칙을 뚫는 공격

5분이면 설치부터 스캔까지 끝난다

설치에 필요한 것은 Python 3.12 이상, Docker(앱을 격리된 환경에서 안전하게 실행하는 도구), 그리고 AI API 키 하나입니다. OpenAI, Anthropic 등 주요 AI 모델을 지원합니다.

# 1. 설치
pipx install strix-agent

# 2. AI 모델 설정 (OpenAI 예시)
export STRIX_LLM="openai/gpt-5"
export LLM_API_KEY="여기에-API-키-입력"

# 3. 내 프로젝트 폴더 스캔
strix --target ./my-app

# GitHub 저장소도 직접 스캔 가능
strix --target https://github.com/username/repo

# 실제 운영 중인 웹사이트도 테스트 가능
strix --target https://my-website.com

실행하면 Strix가 Docker 샌드박스(격리된 안전 공간) 안에서 앱을 실행하고, 여러 AI 에이전트가 동시에 다양한 공격을 시도합니다. 결과는 agent_runs 폴더에 저장되며, Markdown, JSON, SARIF(보안 도구 표준 형식) 등 다양한 포맷으로 내보낼 수 있습니다.

찾기만 하는 게 아니라 고쳐주기도 한다

Strix의 가장 인상적인 기능은 자동 수정 PR(Pull Request, 코드 수정 요청) 생성입니다. 취약점을 찾으면 어떻게 고쳐야 하는지 코드 수정안까지 만들어서 GitHub에 바로 올려줍니다. 개발자는 리뷰하고 승인만 하면 됩니다.

CI/CD(코드가 자동으로 테스트되고 배포되는 파이프라인)에도 연결할 수 있어서, 새 코드를 올릴 때마다 Strix가 자동으로 보안 검사를 실행합니다. Jira, Slack과도 연동 가능합니다.

무료 vs 유료 — 뭘 선택해야 하나

무료 (로컬 설치) — 위의 설치 방법 그대로. 내 컴퓨터에서 실행하므로 코드가 외부로 나가지 않습니다. 개인 개발자, 사이드 프로젝트에 적합합니다.

클라우드 (app.strix.ai) — 설치 없이 웹에서 바로 사용. 기본 테스트는 무료입니다.

엔터프라이즈 — 팀 대시보드, CI/CD 연동, 커스텀 AI 모델 지원. 가격은 문의 필요합니다.

실전에서 얼마나 쓸 만한가

FreeCodeCamp의 튜토리얼에 따르면, Strix는 IDOR(다른 사용자 정보 접근), 안전하지 않은 역직렬화(데이터 변환 과정의 보안 허점)를 포함한 다양한 실전 취약점을 정확하게 찾아냅니다. Help Net Security도 "수동 모의해킹과 정적 분석 사이의 빈 공간을 채우는 도구"라고 평가했습니다.

다만 주의할 점도 있습니다. AI의 판단에 전적으로 의존하면 안 되고, 결과를 반드시 사람이 검토해야 합니다. 또한 운영 중인 서비스에 직접 사용할 때는 사전 승인을 받아야 합니다 — 허가 없이 다른 사람의 시스템을 테스트하는 것은 불법입니다.

관련 콘텐츠Easy클코로 AI 시작하기 | 무료 학습 가이드 | AI 뉴스 더보기

출처

AI 소식, 가장 빠르고 쉽게 받아보세요

누구나 이해할 수 있도록, 가장 자세하고 쉽게 알려드립니다

텔레그램 채널 구독