도입문의
AI Story

AI 에이전트를 활용한 웹 애플리케이션 취약점 스캔 자동화하기

AI 에이전트(Claude CLI)와 OWASP ZAP를 연계해 보안 점검 자동화의 장점과 한계를 정리했습니다.
Editor B's avatar
Editor B
Nov 17, 2025
AI 에이전트를 활용한 웹 애플리케이션 취약점 스캔 자동화하기
Contents
OWASP ZAP 이란?웹 보안 점검의 기본 도구왜 Claude CLI + OWASP ZAP 조합인가AI를 점검 도구에 연결하면 달라지는 것들실제로 사용해 보니짧은 시간에 ‘많이’ 찾는 AI 점검의 장점과 한계웹 애플리케이션 스캔 및 자동화 실행 과정위협을 기회로 만드는 AI 활용

✒️

Editor’s Note

이 글은 블룸에이아이 동료들의 AI 활용 경험을 모아 전하는 시리즈입니다.

작은 실험부터 전두엽이 짜릿해지는 인사이트까지, 현장에서 직접 부딪히며 배운 이야기들을 솔직하게 풀어냅니다.

블룸에이아이 IT기획팀 보안 담당 한스

Writer: Hans | IT 기획팀

최근 AI 에이전트를 악용한 해킹 시도가 늘면서 AI 기술 및 기업 보안에 대한 우려가 커지고 있습니다.

하지만 이런 AI 에이전트도 보안 사고 예방 목적으로 적절하게 활용해본다면, 서비스 보안을 강화하는 데 도움이 될 수 있지 않을까요?

그 가능성을 확인해보고자 직접 실험한 과정과 배운 점을 공유합니다.

OWASP ZAP 이란?

웹 보안 점검의 기본 도구

‘OWASP ZAP(Zed Attack Proxy)’은 웹 애플리케이션의 보안 취약점을 찾기 위해 사용되는 무료 오픈소스 보안 진단 도구입니다.

OWASP(오픈 웹 애플리케이션 보안 프로젝트)에서 개발 및 유지관리하며, 전 세계 보안 전문가들이 널리 사용하는 점검 도구 중 하나입니다.

OWASP 단체는 개발자와 기업이 더 안전한 소프트웨어를 만들 수 있도록 다양한 보안 가이드, 도구, 문서, 교육 자료를 무료로 제공하는데요. 이들이 발행하는 자료는 업계에서 사실상 웹 보안의 표준 가이드라인처럼 활용되고 있습니다.

ZAP 역시 그 철학과 원칙을 바탕으로 만들어진 대표 도구입니다.

왜 Claude CLI + OWASP ZAP 조합인가

AI를 점검 도구에 연결하면 달라지는 것들

AI를 보안 점검 도구와 결합하면 취약점 스캔이 훨씬 쉬워집니다. 누구나 빠르게 바이브 코딩을 통해 자동화 점검 스크립트를 개발할 수 있고, 발견된 보안 취약점에 대한 조치 방향도 쉽게 파악할 수 있습니다.

특히 Claude CLI는 바이브코딩 시 고품질 코드가 생성되는 장점이 있습니다. Claude CLI를 쓰면 ZAP 실행 과정이 자동화되기 때문에, 개발자나 보안 담당자는 복잡한 설정에 시간을 쓰는 대신 시큐어 코딩이나 내부 인프라 강화 같은 더 중요한 일에 집중할 수 있습니다.

⚠️ 물론 주의할 점도 있습니다.

간편하게 웹 애플리케이션 취약점 스캔을 진행할 수 있다보니, 실수로 협의되지 않은 사이트에서 점검을 수행하는 경우 정보통신망법이나 개인정보보호법을 위반하여 경우에 따라 민형사상 책임으로 이어질 수 있습니다.

그러니 반드시 승인된 환경에서만 진행해야 합니다.

실제로 사용해 보니

짧은 시간에 ‘많이’ 찾는 AI 점검의 장점과 한계

AI를 이용한 취약점 점검은 짧은 시간 내에 많은 이슈를 빠르게 잡아내는 데 매우 효과적이었습니다.

다만 일부 ‘오탐(false positive, 실제 문제가 아니지만 탐지되는 항목)’도 있었기 때문에, 재검토 및 결과에 대한 최종 판단은 보안 담당자가 직접 확인해야 한다는 작은 단점이 있습니다.

웹 애플리케이션 스캔 및 자동화 실행 과정

  1. ZAP(웹 애플리케이션 점검 도구)를 잘 활용하기 위해서는 AI 에이전트에 필요한 업무에 대해 상세 프롬프트를 작성하여 전달하는 게 중요합니다.

    AI 에이전트에 필요한 업무에 대해 상세 프롬프트를 작성하는 화면

  2. 정확하고 상세한 내용의 프롬프트를 요청한다면 담당자에게 필요한 바이브 코딩 및 자동화 작업을 원활하게 할 수 있습니다.

    정확한 프롬프트를 통해 바이브 코딩에 성공한 화면

  3. 프롬프트를 통해 자동화 스크립트 개발이 완료됐다면 ZAP(웹 애플리케이션 점검 도구)는 스크립트를 통해 실행되고, 사전에 구축한 테스트 서버에 점검 트래픽이 유입되는 것을 확인할 수 있습니다.

    ZAP가 자동 실행되고 사전에 구축한 테스트 서버에 점검 트래픽이 유입되는 화면

  1. 점검 수행이 완료되면 테스트를 진행한 사이트에서 어떤 취약점이 발견됐고 이를 조치하기 위해 적용할 수 있는 대응 방법은 무엇인지 상세한 가이드가 나옵니다.
    이를 보고 보안 담당자의 업무 수행 시간을 많이 단축할 수 있다고 판단했습니다.

    테스트에서 파악된 취약점이 자동으로 보고서로 생성된 이미지
    어떤 취약점이 발견됐는지 보여줍니다
    모의해킹 테스트에서 AI에 명령어를 적고 있는 화면
    발견된 취약점에 대한 조치 방법도 가이드받을 수 있습니다
    모의해킹 테스트에서 AI에 명령어를 적고 해결방안을 묻는 화면

위협을 기회로 만드는 AI 활용

AI가 보안 점검의 모든 과정을 대신해주지는 않지만, 반복 작업이나 초기 탐지 단계에서는 상당한 시간과 노력을 줄여주는 어시스턴트가 될 수 있습니다.

짧은 시간 안에 다양한 취약점을 찾아주고, 보고서 정리까지 도와주기 때문에 실제 대응 속도도 훨씬 빨라졌습니다.

물론 AI가 제시하는 결과에는 오탐도 섞여 있기에 최종 판단과 조치 방향 설정은 여전히 사람이 직접 확인해야 합니다. 이런 한계를 알고 활용한다면 AI는 보안 담당자의 매우 실용적인 파트너가 될 수 있다고 생각합니다.

최근 AI를 이용한 해킹 시도가 늘면서 기술에 대한 우려가 큰 것도 사실입니다. 그렇지만 이번 실험을 통해, AI는 위협이 될 수도 있지만 통제된 환경에서는 보안을 강화하는 도구가 될 수도 있다는 점을 다시 확인했습니다.

중요한 건 기술 자체가 아니라 이를 어떤 방식으로 활용하느냐겠죠.

앞으로도 내부 보안 환경 강화에 도움이 될 만한 AI 기반 점검 방식을 더 다양하게 실험해볼 예정입니다. 이 글이 비슷한 고민을 가진 분들께 작은 팁이 되면 좋겠습니다.

Share article

© Blumn AI. All rights reserved.

RSS·Powered by Inblog