AI는 코드를 더 빠르게 작성, 수정, 제공하고 있지만, 실제로 기계에서 실행되는 바이너리 파일은 같은 속도로 검사되지 않는 경우가 많다.
이것이 RevEng.AI가 주목하는 시장이다. 5월 27일, 이 런던 기반 사이버보안 기업은 나토 혁신기금(NATO Innovation Fund)이 주도하고 Sands Capital, In-Q-Tel, IQ Capital, Episode One이 참여한 1500만 달러 규모의 시리즈A 투자 유치를 발표했다. In-Q-Tel은 미국 정보 커뮤니티와 깊은 연관이 있는 벤처캐피탈이며, 나토 펀드의 참여는 소프트웨어 공급망 보안이 더 이상 기업 IT 부서만의 문제가 아님을 시사한다.
RevEng.AI는 바이너리 네이티브 검증을 전문으로 한다. 고객에게 소스 코드를 요구하지 않고, 컴파일된 실행 파일, 펌웨어 또는 타사 소프트웨어를 직접 분석하여 취약점, 백도어, 악성 기능을 찾아낸다. 이 접근 방식은 클로즈드 소스 소프트웨어, 벤더 제공 구성 요소, AI 생성 코드에 특히 중요하다. 소스 코드를 항상 볼 수 있는 것도 아니고, 실제 실행 내용과 일치한다고 보장할 수도 없기 때문이다.
회사의 핵심 모델인 BiNet은 바이너리 분석을 위해 훈련되었으며, 전통적인 리버스 엔지니어링에서 전문가 경험에 크게 의존하던 작업을 자동화하는 것을 목표로 한다. 기존 보안 감사는 먼저 소스 코드를 살펴본 다음 빌드 프로세스를 통해 결과물을 검증하는 경우가 많았다. RevEng.AI의 접근 방식은 더 직접적이다. 코드가 어떻게 작성되었든, 기계가 실제로 실행하는 파일이 최종 진실이라는 것이다.
이러한 초점은 AI 코딩 도구가 폭발적으로 성장하는 시점과 맞물린다. 코드 생성 속도가 빨라지면서 기업은 '코드를 작성할 수 있는가'뿐만 아니라 '작성된 코드에 숨겨진 위협이 있는가'라는 문제에 직면한다. AI 코딩 에이전트가 매일 방대한 양의 코드를 생성할 때, 인간이 모든 변경 사항을 일일이 검토하는 것은 불가능하며, 컴파일 후 검사가 더욱 중요해진다.
나토 혁신기금은 발표에서 소프트웨어가 경제와 국가 안보의 모든 계층을 뒷받침하며, 조직은 자신이 의존하는 소프트웨어의 내부를 알아야 한다고 강조했다. 그 소프트웨어가 클로즈드 소스이거나 타사에 의해 제공되더라도 마찬가지다. 이러한 판단은 왜 국방·정보 기관 배경의 자본이 소규모 보안 기업에 유입되는지를 설명한다.
RevEng.AI는 현재 고객 명단을 대거 공개하지 않고 있는데, 이는 놀라운 일이 아니다. 바이너리 보안은 국방, 중요 인프라, 공급망 감사와 밀접하게 연관되어 있으며, 많은 고객이 공개에 적합하지 않기 때문이다. 회사의 진정한 과제는 리버스 엔지니어링 역량을 소수의 전문가 팀만이 아닌 기업이 확장 가능하게 사용할 수 있는 플랫폼으로 만드는 것이다.
AI가 코드를 더 빨리 작성할수록 최종 결과물에 대한 검증 수요는 더 강해진다. RevEng.AI의 이번 투자 유치는 AI 소프트웨어 개발 체인에서 '최종적으로 무엇이 실행되는가'가 독립적인 비즈니스로 자리잡고 있음을 보여준다.
참고 자료: RevEng.AI raises $15M to reverse-engineer software binaries and hunt down malicious threats (SiliconANGLE); NATO Innovation Fund leads $15 million RevEng.AI round (NATO Innovation Fund); CocoLoop; RevEng.AI Raises $15 Million to Hunt for Flaws and Backdoors in Software Binaries (SecurityWeek)