Keygraph의 AI 펜테스터 Shannon, 하루 703개 GitHub 스타 기록하며 보안 자동화 주목

Keygraph가 개발한 자율 AI 펜테스터 Shannon이 GitHub에서 하루 703개 스타를 획득하며 보안 자동화 분야에서 빠르게 주목받고 있다. 현재 누적 스타 수는 36,002개다.

Shannon은 웹 애플리케이션과 API를 대상으로 한 화이트박스 보안 테스트 도구다. 대상 애플리케이션의 소스코드를 분석해 공격 벡터를 식별한 뒤, 브라우저 자동화와 명령줄 도구를 활용해 실제 공격을 실행한다.

인젝션 공격, 인증 우회, SSRF, XSS 등 OWASP 주요 취약점을 커버하며, 작동하는 개념증명(PoC)이 확인된 취약점만 최종 보고서에 포함된다. OWASP Juice Shop 테스트에서는 인증 우회와 데이터베이스 유출을 포함해 20건 이상의 취약점을 식별했다.

Shannon은 두 가지 에디션으로 제공된다. 오픈소스인 Shannon Lite는 AGPL-3.0 라이선스로 로컬 테스트에 적합하며, 상용 버전인 Shannon Pro는 SAST, SCA, 시크릿 스캔, 비즈니스 로직 테스트까지 통합한 올인원 애플리케이션 보안 플랫폼이다.

Shannon Pro의 핵심 기술은 코드 속성 그래프(CPG) 기반 분석이다. AST, 제어 흐름 그래프, 프로그램 의존성 그래프를 결합해 데이터 흐름을 추적하고, 각 노드에서 LLM이 적용된 보안 조치의 충분성을 평가한다.

정적 분석과 동적 테스트의 결합도 Shannon의 차별점이다. 정적 분석에서 식별된 취약점은 동적 테스트 단계에서 실제 공격으로 검증되며, 확인된 취약점은 정확한 소스코드 위치와 함께 보고된다.

보안 측면에서 Shannon Pro는 자체 호스팅 러너 모델을 지원한다. 코드 접근과 LLM API 호출을 포함한 데이터 플레인이 고객 인프라 내에서 실행되어 소스코드가 고객 네트워크 밖으로 유출되지 않는다.

Keygraph는 Claude Code나 Cursor 같은 AI 코딩 도구가 개발 속도를 높이는 반면, 보안 테스트는 여전히 연 1회 수준에 머물러 있다는 점을 Shannon의 개발 배경으로 설명했다. 연간 364일의 보안 공백을 자동화된 펜테스트로 메우겠다는 전략이다.