LLM이 fuzzing harness를 쓸모없게 만든다 — AI 보안 테스트 자동화 유니콘이 나온 이유

보안 자동화 스타트업에 자본이 몰리는 이유가 바뀌었다. 2023~2024년까지 투자자들이 베팅한 것은 “AI가 더 빠른 SAST(정적 분석)를 만들 수 있다”는 점이었다. 2026년의 논리는 다르다. “AI가 기존 도구가 구조적으로 하지 못했던 것을 한다.”

그 핵심이 fuzzing harness다. AFL, libFuzzer, OSS-Fuzz가 수십 년 동안 취약점을 발견했지만, 진입장벽은 항상 harness 작성이었다. API 하나마다 수 시간짜리 수작업. LLM은 이 병목을 없앤다 — 소스코드를 읽고 직접 취약점 가설을 세운다.

왜 지금 이 스타트업들인가

Anthropic이 4월 7일 Mythos Preview를 공개하며 수치를 제시했다: Firefox 150에서 271건 취약점 발견, 오탐 거의 0%. 방식은 에이전트형 코드 추론이다 — 파일 우선순위 점수화, 가설 수립, 빌드·실행 검증, PoC 작성. 전통 fuzzer와는 다른 레이어에서 작동한다.

이 시연은 스타트업 투자 논리를 검증했다. XBOW(CEO Oege de Moor, 전 GitHub Copilot 창립자)는 3월에 Series C $155M, 유니콘 달성. ZeroPath(LLM + 정적 분석 결합, 인증 우회 탐지 강점)는 2026년 2월 $5M 추가 Seed. Pixee(자동 패치 중심)는 이 생태계에서 포지셔닝이 다르다 — Mythos가 “발견”에 집중한다면 Pixee는 “수정”에 집중한다.

창업자가 봐야 할 공백

대형 모델 제공사(Anthropic, OpenAI)가 기반을 제공하지만, 엔터프라이즈 통합은 스타트업의 영역이다. CI/CD 파이프라인에 LLM 보안 스캔을 삽입하는 도구, 트리아주 자동화, 패치 제안 → 코드리뷰 연결 워크플로우가 아직 비어 있다. EU AI Act 8월 2일 전면 시행은 고위험 AI 시스템에 자동 red-teaming 의무화를 포함한다 — 규정 준수 SaaS 각도도 열린다.

XBOW 같은 풀스택 플레이는 자본이 많이 필요하다. 한국 창업자의 현실적 진입점은 특정 스택(Java/Kotlin 레거시, Go 마이크로서비스 등)에 특화된 LLM 보안 스캔 레이어나 EU AI Act 컴플라이언스 자동화 SaaS다.

관련 공모전 · 이벤트

• 시스코 CISCO 보안 아카데미 5기 — ~2026.05.25. 네트워크·보안 기초부터 실무까지, LLM 보안 입문에 직접 연결되는 교육
• 제2회 올담 데이터 활용 해커톤 대회 — ~2026.05.22. 공공 데이터 기반 AI 활용 아이디어 경진대회
• KT Cloud Techup IT Training Program — ~2026.12.22. 클라우드 보안·인프라 실무 과정