이 이야기는 2026년 2월, 4개월 전 해커톤에서 탄생한
URL 한번만 넣으면 5분만에 보안을 점검해주는 화이트해커 Agent
Trust 이야기다.
Trust의 탄생 배경
서비스 Trust는 올해 1/31 ~ 2/1 진행된
2026 패스트빌더톤 with Anthropic/Nvidia/Replit 해커톤에서 탄생했다.
2026년 첫번째 해커톤 - 패스트빌더톤 with 앤트로픽, 엔비디아, 패스트캠퍼스.. 그리고 우승
2026년 새해, 해커톤에 다녀왔다.바로 2026 패스트 빌더톤 - Fast Builderthon패스트캠퍼스 주최에 앤트로픽(내사랑), 엔비디아, 레플릿, STT/TTS의 일레븐랩스까지2026년 첫 포문을 연 초대형 해커톤이라
imjaden.tistory.com
자세한 과정은 이전 글에서 이미 다뤘고
서비스를 기획하고 만든 이유를 짤막하게 이야기하고 넘어가자면,
1. 작년(2025) 8월이었나, 클로드 코드 Opus가 세상에 등장했다.
2. 나도 이 클로드 코드로 생산성, 자동화, 분석, 여러가지 서비스를 만들었고 '게임'도 그중 하나였다.
3. 나는 평소에 사람들을 관찰하는데, 출근길 여러 사람들이 킬링타임용 게임을 멍~하니 하는걸 보았고
4. 나도 이런 그냥 멍하니 매일, 자주, 쉽게 즐길 수 있는 게임을 만들었고, 신나서 Reddit에 뿌렸다.
5. 그런데 3시간 정도였을까. 내 서비스가 해킹을 당했고 API Key가 노출됐다는 메일을 받았다.
6. 너무 놀라서 바로 서비스를 내리고, Github 프로젝트를 아예 삭제해버렸다.
7. 이때부터 였을까, 보안에 대한 중요성을 깨달았는데, 그러던 와중 현업에서 일이 있었다.
8. 서비스를 오픈하기 전에 보안 점검을 받아야하는데, 이 보안 점검 일정을 잡는데 정말 골치가 아팠다.
9. 보안 검토/모의해킹/DB Failover을 진행해야하는데, 오픈 이전에 반드시 일정을 약 2주간 비워야하고 + 일정도 Red팀의 일정에 맞춰 진행을 해야하며 + 해당 일정에는 소스 Freezing/배포가 필요해서 제약이 이만저만이 아니었다.
=> 쉽게 말해서, 보안 점검 한번 하려면 우리가 원하는 시간에 맞출 수도 없고, 2주라는 시간동안 우리는 넋 놓고 기다려야만 하는 것이다.
10. 심지어 Red팀에서 진행하는 보안 검토는 정적 분석 위주로, Rule 매칭으로 진행되는데 모의해킹은 동적분석이라 인적 리소스 투입이 필요해서 비용도 만만치 않다.
11. 물론 엔터프라이즈급 서비스라 그런데, 생각해보면 나처럼 '바이브코딩'으로 서비스를 개발하는 사람들, 빠르게 성장을 시키는 사람들은 이런 제약을 경험하게 되면 당연히 '안 받고 말지' 하게 된다.
12. 더군다나 비용도 만만치 않다. 개인/소규모 서비스의 경우에는 작게나마 보안 검토를 받을 수 있는데(Snyk) 이 금액도 현재(2026.06) 기준으로 회당 약 4만원부터 시작한다.
13. 그런데 막상 사용해보면? 알아서 해주는 것도 아니고, 바이브코딩을 하는 비개발자 입장에서는 굉장한 러닝 커브가 있다. 취약점을 봐도 무슨 말인지 알기도 쉽지 않다. 보고 학습을 해야하는 것이다.
14. 바이브코더 입장에서, 해킹 이슈가 너무 발생하고 있어서 제품 취약점을 점검하긴 해야하는데, 빠르게 성장이 필요한 상황에 시간을 할애해야 되고, 무자본인데 비용까지 부담을 해야되며, 점검 과정에서 이해도 잘 안되는데 배워가며 보완해야하는 이 상황.
여기서 궁금했다.
바이브코더는 폭증하는데 해킹은 더 심해지고 있다.
근데 AI, 우리 매일같이 사용하고 AI가 이렇게 발달하고 있는데 왜 아직도 사람의 손을 빌려서 오랫동안 걸려서 서비스를 점검해야하지?
그래서 나는 'AI 로 URL 한번 입력만 해도 보안을 점검할 수 있는
바이브코더의/바이브코더를 위한/바이브코더에 의한' 보안 스캔 서비스를 만들어보자 결심했다.
현재 시장 상황
1. 바이브코딩은 전세계 개발자 90% 이상 사용 중이다.
2. 이는 6개월만에 도달한 수치다.
3. 그런데, 이렇게 탄생 중인 서비스의 약 45%가 취약점에 노출되어 있다.
4. IT 서비스 시장은 5년간 2.5배 성장하는데, 개인정보 유출사고는 5년간 5배 성장한다. 성장 추이가 2배 차이난다.
5. 해킹은 카카오, SKT, 쿠팡, CU, 티빙, 패스트캠퍼스, 모두의창업.... 셀 수도 없다.
6. 이건 대기업이고, 털 만한 것들이 많으니까 터는 것 아니야? 라고 할 수 있는데
7. 그럼 이건 어떨까? 불과 2달 전에는 Vercel의 38만개 DB가 유출됐고, 1달 전에는 Github의 Private 시크릿 4천개가 노출됐다.
8. 그렇다. 2026년 현재는 내 작고 소중한 서비스, 누가 알겠어 싶은 내 개인 프로젝트도 '공급망 공격' 한 번에 그냥 싹다 털리는 것이다.
9. 주로 털리는 지점은 3가지다. API 키 유출, SQL 인젝션, XSS.
10. 이 문제들은 코드레벨에서 전부 다 잡히지 않는다.
11. 사실 정적분석(SAST)은 이제 AI가 다 본다. 정적분석이라는게 결국 우리의 소스코드 상에서 취약점이 얼마나 발생하는가? 인데
12. 동적분석(DAST)은 라이브 환경 이슈다. 결제/로그인을 AI가 할 수 없지 않은가. 라이브 환경 이슈는 취약하다.
13. 근데 동적분석으로 잡을 수 있는 HTTP/XSS 같은 라이브 환경이슈는 진짜 크리티컬하다.
14. '역사상 최악의 해킹' 사례로 손꼽히는 Log4j 취약점인데, Log4j는 해커가 보낸 특정 문자열을 서버가 로그로 기록하는 순간, 서버의 제어권을 통째로 넘겨주게 만들었던 최악의 이슈다.
15. 알겠어. 취약한거 알겠는데, 이게 왜 문제냐? 할 수 있다. 쉽게 설명하자면, API 키 한번 노출되면 작년 기준으로 하룻밤 사이에 800만원의 비용이 사용됐고, 내 DB에서 개인정보 유출되고 보상하려면 소규모 프로젝트 기준 보상액이 1억 1천만원을 상회한다. 서로 도움되자고, 즐겁자고 만든 서비스로 몇백, 몇천, 몇억의 돈을 내라고 하면, 이게 얼마나 억울한가?
15. 여기까지 길었는데 정리하자면, 바이브코딩을 하는 우리가 괜찮겠지, 설마, AI가 어느정도는 잡겠지 생각하면서 무념무상 넘어가면 우리 서비스도 일괄로 탈취당하는데, 지금의 AI로는 이걸 100% 방어할 수 없고, 오래 걸리고 비싸니까 하기 싫어서 묻어두면 나중에 몇백만원 부터 시작하는 청구서를 때려맞게 되는것이다.
16. 보안 없는 바이브코딩, 간단하게만이라도 점검할 수 없을까?
솔루션
그래서 나는 이 문제를 Trust라는 서비스로 해결하고자 한다.
Trust는
1. 단순하다 : 내 서비스의 배포된 링크(URL) 입력 한번이면 점검을 시작한다.
2. 빠르다 : 스캔은 최대 5분이면 끝난다.
3. 쉽다 : 스캔 후에 취약점을 리스트 형태로 알려주고, 버튼 클릭 한번이면 AutoFix/PR 이 이루어진다.
4. 완전하다 : 정적/동적분석을 모두 해준다. 내 서비스 라우트를 알아서 돌아다니면서 점검해준다.
5. 저렴하다 : 이 모든걸 단 1.4만원 ($10)만 내면 무제한으로 이용가능하다.
6. 다양하다 : 단순 배포 URL 스캔만 아니라, Repo Scan / MCP도 사용할 수 있다.
7. 편하다 : 등록해두면 정기적으로 분석해주고, Push 마다 CI/CD에 통합되서 알아서 점검해주기도 한다. 신경써서 할 필요가 없다.
8. 다르다 : 기존의 보안 서비스와 기술적으로 다르다. AI의 한계인 컷오프(과거에서 지식이 머무르는)와 브라우징 과정(시간이 오래 소요되고 토큰이 많이 소비된다)를 해결하기 위해서, 전세계 실시간으로 제보되는 보안 취약점 오픈소스인 Nuclei 스캐너의 13,000+ 템플릿을 현재 기준으로 호출하고, 이중 바이브코더가 놓칠 수 있는 테마를 선별해서 필터한 후에, 우선순위를 바탕으로 Agent가 템플릿을 병렬로 탑재하여 라이브 환경까지 침투 테스트를 시행한다. 그래서 5분이라는 시간에 빠르게 실행이 되는 것이다. 그 과정에 Gitleaks와 Semgrep을 최초 레이어에 쌓아서 정적 분석부터 통과하게 하는 것도 우리의 레이어링 차별점이다.
Trust의 여정
1. 1월에는 제품을 기획했고
2. 2월에는 제품을 탄생시켰고
3. 3월에는 부족한 제품을 보완해서 E5 KAIST에 도전했다.
E5 KAIST: Spring 2026 👾 | Notion
Be Entrepreneur, E5 KAIST.
pleasant-pilot-6ba.notion.site
4. 4월에는 E5 를 통해 VC 분들을 만나 멘토링을 받고 제품을 디벨롭했고
5. 5월에는 프로덕트 헌트에 제품을 런칭하고 실제 서비스를 시작했다.
6. 그리고 6월, E5 KAIST Final 8팀에 올랐고, 데모데이를 진행했다.
E5 데모데이 이야기
1. 진짜 창업 경진대회, 대단한 성과를 만들고 있는 굉장한 제품/사업을 만나고 견문을 넓힐 수 있었다.
2. 전세계, 글로벌 다양한 팀들의 아이디어를 이렇게 만나볼 수 있다는게 정말 새로웠고, 무엇보다도 AI로 어디까지 할 수 있는가에 대해 많은 것을 배웠다.
3. 다양한 아이디어를 마주할 수 있었고,
4. 가장 크게 깨달은 것은 스타트업/투자 씬에서 비즈니스 초기 단계에서 가장 중요하게 보는 것은 제품, 시장규모, BM, 문제정의... 이런 것 보다도, '팀'이다.
5. 도메인 전문가부터 박사님, 교수님, 후원자들 등등.... 팀과 연결된 '사람'이 투자유치와 사업 성장에 가장 큰 평가를 내린다는 것을 깨달을 수 있었다. 이번 프로그램에서 얻은 가장 큰 배움이다.
6. 우승 팀들과 비교해보자면, 우승 팀들은 구성원들이 우선 서/카/포 + 해외대 석/박사 이상이거나, 카이스트 학부에서도 가장 유망한(대통령상을 받았거나, 과고 조기졸업이라던가...) 팀원들로 구성되었고, 어렵게 대단한 분들을 모셔서 진행하는 팀들이 많았다.
7. 물론, 그런 부분들이 아쉬웠지만, 나는 이번 기회로 Trust를 더욱 날카롭게 다듬을 수 있었던 것 같다. 그리고 내 인생 처음으로 제품 발표를 대본 없이 했는데, 생각보다 느낌이 좋았고, 확실하게 내 의사를 전달하고 있다는 생각이 들었다. 물론 많이 다듬어야겠지만, 좋은 경험을 할 수 있었다.
8. 전체 결과는 아쉬웠지만, 피칭은 만족스러웠던 것 같다. VC 분들께 명함도 받고 나중에 진짜 사업하실거면 연락달라는 이야기도 해주셨다 ㅋㅋ (물론 그건 많이 나중이겠지만...)
9. 단순히 E5 의 마지막까지 왔다는 것만 중요하다기보다는.. 이런 기회를 통해 VC 분들 포함, Scene에서 도움을 주고받을 수 있는 분들과 네트워크를 만들어 갈 수 있다는게 정말 중요한 것 같다. 대단한 분들을 보면서 영감을 받기도 하고, 정말 중요한 자리였다.
10. 마지막으로 회고해보자면, 중요도 순으로 정리해보자면, 팀 > 해자 (특허, 저작권 등) > 솔루션 > 시장 규모 > BM > ....
11. 단순 좋은 경험으로 남기지 말고, Trust를 더 제대로 깎아보는 방향으로 진행해보자. 한번 해보니까 이제 어떻게 해야할지 알겠다.
Trust 화이팅