기업 보안팀이 매년 수천만 원을 들여 외부 전문가를 고용하는 일이 있다. 바로 침투테스트(pentest), 즉 ‘의뢰 해킹’이다. 숙련된 보안 전문가들이 며칠에서 수 주에 걸쳐 기업 시스템에 실제 공격을 시도해 보안 구멍을 찾아내는 방식이다. 문제는 이 테스트가 연 1~2회에 불과하다는 것. 그 사이에 배포된 새 코드와 업데이트된 시스템은 점검 없이 방치된다. 게다가 AI로 무장한 공격자들은 이제 24시간 쉬지 않고 모든 시스템을 두드린다. 사람이 하는 침투테스트로는 그 속도를 도저히 따라잡을 수 없다.

엑스보우(XBOW)는 이 문제를 AI로 풀겠다고 나선 기업이다. 2024년 1월 시애틀에서 출범한 이 회사는 시리즈C에서 1억2천만 달러를 유치했다고 발표했다. DFJ 그로스(DFJ Growth)와 노스존(Northzone)이 공동 주도한 이번 라운드로 기업가치는 10억 달러를 넘어서며 유니콘에 합류했다. 신규 투자자로 소피나(Sofina)와 알케온 캐피탈(Alkeon Capital)이 참여했고, 기존 투자자인 알티미터(Altimeter), NFDG 벤처스(NFDG Ventures), 세쿼이아 캐피탈(Sequoia Capital)도 후속 투자에 동참했다. 누적 조달액은 2억3천7백만 달러다.

회사를 이끄는 오이히 더 무어(Oege de Moor) CEO의 이력이 눈에 띈다. 옥스퍼드대 컴퓨터과학과 교수 출신인 그는 코드 분석 스타트업 셈믈(Semmle)을 창업해 2019년 깃허브(GitHub)에 매각했고, 이후 깃허브 내에서 개발자라면 누구나 아는 AI 코딩 도구 깃허브 코파일럿(GitHub Copilot)과 보안 분석 플랫폼 깃허브 어드밴스드 시큐리티(GitHub Advanced Security)를 직접 만들었다. 그는 자신의 모든 커리어가 엑스보우로 이어졌다고 말한다. 회사는 깃허브 코파일럿 초기 멤버들과 함께 구축됐으며, 최고정보보안책임자(CISO)로는 리프트(Lyft) CISO 출신의 니코 바이스만(Nico Waisman)이 창업 초기부터 합류해 세계 최고 수준의 인간 해커 팀을 꾸려 AI 시스템을 훈련시키고 있다.

엑스보우 플랫폼의 작동 방식은 한마디로 ‘AI 해커’다. 실제 공격자가 쓰는 기법을 모델로 한 AI 추론 엔진이 기업 애플리케이션을 24시간 자동으로 공격하며 취약점을 찾는다. 기존 보안 스캐너와 결정적으로 다른 점이 있다. 기존 도구는 “이 코드가 위험할 수 있다”는 이론적 경보를 쏟아내는 반면, 엑스보우는 발견한 취약점을 직접 익스플로잇(exploit)해 검증한 뒤 재현 가능한 증거와 함께 보안팀에 전달한다. ‘뚫릴 수도 있는 구멍’이 아니라 ‘실제로 뚫리는 구멍’만 보고한다는 뜻이다. 오탐(false positive)이 없으니 보안팀은 확실한 근거를 갖고 즉시 대응에 집중할 수 있다.

창업 2년 만에 쌓은 성과도 인상적이다. 세계 최대 버그 바운티 플랫폼 해커원(HackerOne) 미국 순위에서 1위에 올랐다. 수천 명의 인간 해커를 제치고 AI 시스템이 정상에 오른 첫 사례다. 더 무어 CEO는 “2024년 초 창업했을 때 AI가 진짜 해커처럼 생각하고 머신 속도로 움직일 수 있다고 믿는 사람은 거의 없었다. 우리는 그걸 증명했다”고 말했다. 현재 포춘 500 기업 여럿이 엑스보우를 보안 스택의 핵심 레이어로 운용하고 있다.

이번 투자를 이끈 DFJ 그로스의 배리 슐러(Barry Schuler) 공동 창업자 겸 매니징 파트너는 “엑스보우는 대규모 언어 모델을 공격 보안에 최초로 적용한 기업으로, 기술과 시장 수요 모두를 입증했다”고 평가했다. 노스존의 산조트 말히(Sanjot Malhi) 파트너도 “포춘 500 기업들이 이미 이 플랫폼을 미션 크리티컬 레이어로 채택했고, 이렇게 짧은 시간 안에 이런 역량을 구축한 팀은 보기 드물다”고 했다.

앞서 엑스보우는 세쿼이아 캐피탈과 낫 프리드먼(Nat Friedman, 전 깃허브 CEO)이 공동 주도한 시리즈A에 이어, 2025년 6월 알티미터 주도로 7천5백만 달러 시리즈B를 조달한 바 있다. DFJ 그로스의 투자 일환으로 수모 로직(Sumo Logic) 전 CEO 라민 사야르(Ramin Sayar)가 이사회에 합류한다.

이번 자금은 엔터프라이즈 시장 확장, 제품 혁신, 글로벌 성장에 투입된다. 엑스보우는 2026년 초 이원래(WonLae Lee)를 한국 지사장으로 임명하며 아시아태평양 시장 공략도 본격화했다.AI 기반 사이버보안 시장의 경쟁도 뜨겁다. 공격 보안 자동화 영역에는 시낵(Synack), 코발트(Cobalt) 등이 포진해 있다. 보안운영센터(SOC) 자동화를 주력으로 하는 토크(Torq)는 올해 초 시리즈D에서 1억4천만 달러를 유치하며 유니콘에 올랐고, AI 에이전트로 SOC 알림 분류를 자동화하는 세븐에이아이(7AI)는 지난해 12월 사이버보안 역대 최대 규모 시리즈A인 1억3천만 달러를 조달했다. 엑스보우가 ‘공격자 시뮬레이션’이라는 오펜시브(offensive) 보안에 집중한다면, 이들은 주로 수비 측 보안 운영을 자동화한다는 점에서 시장 포지션이 구분된다.

• AI 사이버보안 자동화 ‘토크’, 1.4억 달러 투자유치하며 유니콘 등극
• 세븐에이아이(7AI), 사이버보안 역대 최대 시리즈A 1억3천만 달러 투자 유치