Pentest-AI — 모의해킹 플랫폼 (AI-Red Team)

보안 전문가 대신 AI가 웹사이트·API·모바일 앱의 보안 약점을 찾아주는 자동 진단 플랫폼입니다.

What is Pentest-AI?

회사 서비스(웹사이트, 모바일 앱, API)에는 해커가 악용할 수 있는 보안 허점이 숨어 있을 수 있습니다. 기존에는 보안 전문가(모의해커)를 고용해 며칠~몇 주에 걸쳐 직접 공격 테스트를 해야 했으나, Pentest-AI는 그 과정을 AI가 대신 수행합니다.

사람이 할 일

"이 주소를 점검해줘" 라고 알려주기

AI가 할 일

서비스 탐색 → 수상한 부분 발견 → 안전한 모의 공격 → 결과 보고서 작성

Target Audience & Problem Solving

상황 (Challenge)	Pentest-AI Solution
외부 보안 점검 비용 부담	AI가 1차 점검 자동 수행, 전문가는 발견된 핵심 이슈만 검토
신규 기능 배포 시 상시 검증 필요	CI/CD 파이프라인에 연결하여 배포 전 자동 점검 가능
보안 팀 인력 부족	반복적 공격 테스트를 AI가 담당하여 전문 인력 리소스 최적화
컴플라이언스 대응 (ISMS-P 등)	S3 Knowledge Store 연동으로 점검 결과에 규제 조항 자동 매칭

Agent Architecture (4-Layer Hierarchy)

하나의 AI가 모든 걸 처리하지 않고, 역할별로 특화된 AI 에이전트들이 협업하여 편향을 최소화하고 점검 정밀도를 높입니다.

Orchestrator

Claude Opus

점검 전략 및 계획 수립, 하위 에이전트 작업 할당

AgentTeam

System Logic

정찰 결과에 따라 필요한 전용 VulnAgent 활성화 및 비용 최적화

VulnAgent × 14

Claude Sonnet

취약점 유형별(SQLi, XSS 등) 전문 점검 수행 및 룰북 참조

AuditAgent

Gemini 1.5 Pro

발견된 취약점의 진탐/오탐 독립 재검증 (Cross-Verification)

Technological Innovation

ShadowGraph Memory

세션은 단발성으로 끝나지 않고, 과거 점검 맥락을 그래프 데이터로 관리합니다. 최근 30일 에피소드를 조회하여 과거 발견 사항을 프롬프트에 주입하고, DedupGuard를 통해 중복된 공격 시도를 원천 차단하여 비용을 절감합니다.

Autonomous buildMCP

점검 대상이 미배포 상태인 경우, GitHub 저장소 URL만으로 자동 컨테이너 빌드 및 임시 URL 발급을 수행합니다. LLM이 필요한 리소스를 추천하고 세션 종료 시 모든 인프라를 자동으로 정리합니다.

3-Phase Security Assessment

Phase 1: Recon

정찰

대상 기술 스택, 엔드포인트 및 WAF 제품 식별

Available Tools

Nmap, Nikto, subfinder, theHarvester, gobuster, arjun, Wafw00f

Phase 2: Scan

스캔

발견된 엔드포인트의 취약점 자동 탐지 및 유형 분류

Available Tools

ZAP Active Scan, Nuclei, Gofang, SearchSploit

Phase 3: Exploit

검증·공격

의심 취약점의 실제 익스플로잇 가능성 정밀 검증

Available Tools

SQLMap, Nuclei, ZAP Custom Requests

browserMCP: Modern Web Attack Surface

ZAP과 정적 분석으로 탐지하기 힘든 SPA(React/Vue) 및 클라이언트 사이드 취약점을 Playwright 기반 헤드리스 브라우저로 직접 트리거하여 진단합니다.

form_inject

multi_step_flow

dom_sink_scan

js_evaluate

storage_manipulate

upload_file

csrf_probe

request_intercept

screenshot

DOM XSS, 다단계 플로우 재현, JWT 탈취 시뮬레이션 등 9종의 전문 도구가 에이전트에 내장되어 있습니다.

Built-in Safety & Guardrails

ApprovalGate
위험도가 높은 도구 호출 시 반드시 사람의 최종 승인 필요
Secret Redactor
로그 및 결과에서 GitHub PAT, API Key 등 민감 정보 자동 마스킹
White-box Restriction
허용된 호스트(target_hosts) 외의 외부 요청 이중 차단
Loop Detection
동일 패턴의 무한 반복 공격 감지 및 자동 세션 전환

Tech Stack Summary

Python 3.12FastAPIReact 19TypeScriptViteDockerKubernetes (EKS)OWASP ZAPNmapSQLMapNucleiSemgrepPlaywrightLiteLLM ProxyAWS S3

점검 화면 샘플 (Assessment UI Sample)

실시간으로 진행되는 취약점 점검 상태와 AI 에이전트의 사고 과정을 시각적으로 모니터링할 수 있는 대시보드

기능 동작 흐름 (Architecture Flow)

4계층 에이전트 간의 정교한 협업과 데이터 흐름을 상세하게 도식화한 아키텍처 다이어그램

Target Audience & Problem Solving

Agent Architecture (4-Layer Hierarchy)

Orchestrator

AgentTeam

VulnAgent × 14

AuditAgent

Technological Innovation

ShadowGraph Memory

Autonomous buildMCP

3-Phase Security Assessment

정찰

스캔

검증·공격

browserMCP: Modern Web Attack Surface

Built-in Safety & Guardrails

ApprovalGate

Secret Redactor

White-box Restriction

Loop Detection

Tech Stack Summary

점검 화면 샘플 (Assessment UI Sample)

기능 동작 흐름 (Architecture Flow)