AI 보안 스타트업 depthfirst, 4천만 달러로 무엇을 바꾸려 하나

사이버 공격에 AI가 본격적으로 투입되고 있다는 말, 이제는 과장이 아닙니다. 악성 코드도, 피싱 이메일도, 취약점 스캐닝도 점점 “사람 손”이 아니라 “AI 손”으로 만들어지고 있죠. 이런 상황에서 AI로 공격하는 세상에, AI로 방어하겠다며 등장한 보안 스타트업이 있습니다. 바로 최근 4천만 달러(약 500억 원) 규모 시리즈 A 투자를 유치한 AI 보안 기업, depthfirst 입니다¹².

이 글에서는 depthfirst가 어떤 회사인지, 무엇을 어떻게 지키려 하는지, 그리고 이 소식이 개발자와 보안 담당자에게 어떤 의미가 있는지를 정리해 보겠습니다.

시리즈 A 4천만 달러, 누가 왜 depthfirst에 베팅했나

depthfirst는 2024년 10월에 설립된 비교적 “신생” 스타트업입니다. 그런데 벌써 시리즈 A에서 4천만 달러라는 꽤 큰 규모의 투자를 받았습니다¹². 리드 투자자는 실리콘밸리 대표 VC 중 하나인 Accel이고, SV Angel, Mantis VC, Alt Capital, Liquid 2 Ventures, BoxGroup 등 여러 유명 투자사가 함께 들어왔습니다².

더 흥미로운 부분은 엔젤 투자진입니다. 구글의 전 수석 과학자 제프 딘(Jeff Dean), a16z의 파트너 커스텐 그린(Kirsten Green) 등 AI와 테크 업계에서 이름만 들어도 알 만한 사람들이 참여했습니다².

즉, 단순 “보안 SaaS” 정도로 보는 게 아니라,
“AI 시대 소프트웨어 보안의 기본 인프라가 될 수 있다”는 쪽에 베팅한 셈입니다.

이번에 확보한 자금은 세 가지 방향에 집중적으로 쓰입니다¹².

응용 연구 및 엔지니어링 인력 확대
제품 고도화
세일즈・고투마켓(GTM) 조직 확장

쉽게 말해, “AI 연구 더해서 제품 똑똑하게 만들고, 이제 본격적으로 시장 점유하겠다” 단계에 들어섰다고 보면 됩니다.

depthfirst가 노리는 문제: AI가 만든 소프트웨어, 보안이 못 따라간다

depthfirst의 CEO 카심 미사니(Qasim Mithani)는 “이제는 소프트웨어가 보안보다 더 빨리 작성되는 시대”라고 말합니다¹². 이 말은 단순한 수사가 아닙니다.

AI 코드 생성기와 앱 생성 플랫폼이 쏟아지면서, 실제로 코드가 작성되고 배포되는 속도는 말도 안 되게 빨라졌습니다³. 문제는 보안팀 인력과 도구는 그 속도를 따라갈 만큼 진화하지 못했다는 점입니다.

여기에 공격자도 AI를 쓰기 시작했습니다. 이미 다음과 같은 것들은 현실입니다¹²⁴.

AI로 대량의 맞춤형 피싱·소셜 엔지니어링 메시지 자동 생성
LLM을 이용한 악성 코드 초안 및 난독화 코드 생성
취약점 검색과 익스플로잇 코드 조합의 자동화
봇 수준을 넘어선 “준 자율” 공격 캠페인 운영

실제로 Anthropic은 2025년, “AI가 조율한 사이버 첩보 캠페인”을 막아냈다고 발표하기도 했습니다¹.

공격은 이미 “자동화 + AI + 24/7”인데, 방어는 여전히 ‘사람이 룰 넣어주는 도구’ 수준에 머무는 경우가 많습니다. depthfirst가 보려는 기회는 바로 이 간극입니다.

General Security Intelligence: 코드와 인프라를 이해하는 AI 보안 엔진

depthfirst의 핵심 제품은 이름부터 꽤 야심 찬 “General Security Intelligence”라는 플랫폼입니다¹². 단순 취약점 스캐너가 아니라, 회사 코드와 인프라를 “끝까지 이해하는 AI 에이전트”를 만들겠다는 쪽에 가깝습니다.

이 플랫폼이 지향하는 기능은 크게 네 가지입니다¹²³.

첫째, 코드베이스와 워크플로 전반 분석
깃 저장소, CI/CD 파이프라인, 인프라 코드(IaC), 애플리케이션 코드까지 전체를 AI가 읽고 ‘위험한 패턴’을 찾습니다. 전통적인 정적 분석(SAST)이 규칙 기반으로 표면적인 패턴을 찾았다면, depthfirst는 “코드 + 비즈니스 로직 + 인프라 맥락”까지 함께 고려하는 구조라고 강조합니다².

둘째, 자격 증명 및 민감 정보 노출 탐지
GitHub에 토큰이 실수로 올라가거나, 로그에 사용자 개인정보가 찍히는 실수는 생각보다 흔합니다³. depthfirst는 코드와 설정, 로그 경로를 분석해 이런 ‘크리티컬 정보가 새어나갈 구멍’을 미리 찾아내도록 설계돼 있습니다¹².

셋째, 오픈 소스 및 서드파티 컴포넌트 모니터링
모던 애플리케이션은 수많은 라이브러리와 SaaS, API 위에 올라갑니다. depthfirst는 이들 OSS 및 서드파티 컴포넌트에 새로 등장하는 위협을 추적하고, 현재 코드베이스와 어떻게 연결돼 있는지 맵핑해 준다고 합니다¹².

넷째, “찾기”를 넘어 “고치기”까지 가는 자동화
depthfirst가 특히 강조하는 부분은 “ready-to-merge fixes”, 즉 바로 머지할 수 있는 수정 PR을 자동으로 열어준다는 점입니다².
AngelList 보안 책임자는 “시니어 시큐리티 엔지니어 한 명이 팀에 들어온 느낌”이라고 표현할 정도로, 단순 경고가 아니라 실제로 적용 가능한 패치를 제안하는 데 초점을 맞추고 있습니다².

성능과 고객 반응: 전통 SAST 대비 8배 ‘진짜’ 취약점

depthfirst는 아직 매우 초기 회사지만, 퍼포먼스를 꽤 공격적으로 내세우고 있습니다. 제품을 출시한 지 4개월 만에 공개한 수치가 눈에 띕니다².

기존 정적 분석 도구보다 “진짜 취약점”을 8배 더 많이 발견
동시에 오탐(false positive)을 85% 줄였다고 주장
사이버 보안 평가 벤치마크인 CyberGym에서 이전 모델 대비 90% 성능 향상²

물론 이 숫자를 액면 그대로 믿기보다는 “자사 벤치마크”라는 점은 감안해야 합니다. 그럼에도 불구하고, 단순 마케팅이 아니라 실제 고객 사례도 함께 제시하고 있다는 점은 의미가 있습니다.

예를 들어 AngelList는 depthfirst 도입 후, 보안팀 효율이 두 배 가까이 올랐다고 주장합니다².
Moveworks의 CISO는 “백도어, 악성 코드 같은 복잡한 위협까지 찾아주고, 동시에 코드 품질과 리뷰 효율까지 올라갔다”고 평가합니다².

현재 depthfirst는 다음과 같은 회사와 이미 파트너십 또는 고객 관계를 맺었다고 밝혔습니다¹².

AngelList
Moveworks
Lovable
Supabase
기타 스타트업·SaaS 업체 다수

AI 보안 시장을 정리한 다른 리포트들에서도, 기존 EDR/XDR, CNAPP, DSPM, 이메일 보안 등 다양한 영역에서 이미 AI-native 솔루션들이 떠오르고 있습니다⁵⁴. depthfirst는 이 중 “코드와 소프트웨어 자체를 지키는 쪽”에 꽤 공격적으로 포지셔닝하는 셈입니다.

누가 만들었나: Databricks·Square·DeepMind 출신이 모인 팀

보안 회사에서 팀의 이력은 신뢰와 거의 직결됩니다. depthfirst의 창업진은 AI와 보안 양쪽에서 꽤 탄탄한 경력을 갖고 있습니다.

Qasim Mithani (CEO, 공동 창업자)
Databricks와 Amazon에서 근무한 경험이 있고, 데이터·분산 시스템 쪽에 강점을 가진 인물입니다¹². 대규모 데이터와 AI 인프라를 이해하는 리더라는 점이 depthfirst의 AI-first 전략과 맞닿아 있습니다.
Daniele Perito (공동 창업자)
Jack Dorsey의 Block(구 Square)에서 보안·리스크 엔지니어링 디렉터를 지낸 인물입니다¹. 결제/핀테크 영역의 실전 보안 경험이 깊습니다.
Andrea Michi (CTO, 공동 창업자)
Google DeepMind 출신 엔지니어로, 심층 신경망과 최신 AI 연구에 강점을 가지고 있습니다¹².

이 팀 조합은 꽤 명확한 메시지를 던집니다.
“보안 업계의 룰을 조금씩 튜닝하는 정도가 아니라, 아예 AI 중심 구조로 다시 짜보겠다.”

투자사 Accel 역시 “기존 보안 툴은 '시그널 대비 노이즈'를 개선한다는 말을 수년간 되풀이했지만, 실제로는 현대 위협을 따라잡지 못하고 있다”며, depthfirst가 4천억 달러 규모 엔터프라이즈 보안 시장의 한 축을 바꿀 잠재력이 있다고 평가합니다².

우리에게 주는 시사점: 개발자, 보안팀이 지금 할 수 있는 것들

depthfirst의 시리즈 A 소식은 단순히 “또 하나의 잘 나가는 실리콘밸리 스타트업” 이야기가 아닙니다. 개발자와 보안 담당자 입장에서 생각해볼 만한 포인트가 여러 가지 있습니다.

첫째, “코드 보안”은 앞으로 더 이상 선택이 아니라 기본 인프라가 된다
지금도 클라우드 보안(CNAPP), IaC 스캐닝, 데이터 보안(DSPM), AI-SPM 등 영역별 보안 솔루션이 폭발적으로 늘고 있습니다⁵⁶. 여기에 depthfirst 같은 “AI-native 코드 보안 플랫폼”이 더해지면, 사실상 개발 초기부터 보안 도구와 함께 가는 게 자연스러운 그림이 됩니다.

둘째, 보안팀은 ‘사후 대응’에서 ‘개발 파이프라인 내 상주’로 이동해야 한다
HoundDog.ai 같은 회사는 이미 “프라이버시와 데이터 보안은 코드에서부터 시작해야 한다”며 IDE와 CI 단계에서 민감 데이터 흐름을 분석하는 제품을 내놓고 있습니다³. depthfirst 역시 비슷한 철학을 공유합니다.
보안팀이 프로덕션 로그와 SIEM만 보고 사후 대응하는 구조로는, AI 시대의 속도를 감당하기 어렵습니다.

셋째, AI를 쓰는 공격자 vs AI를 쓰는 방어자, 양쪽 모두 더 똑똑해진다
OSINT 기반 위협 인텔리전스, AI 기반 SOC 자동화, AI 모델 공격·방어 등 이미 다양한 AI 보안 솔루션이 등장하고 있습니다⁴⁷. depthfirst는 그중에서도 “소프트웨어 자체를 이해하는 AI 보안 엔진”이라는 독특한 자리를 노립니다.
이 말은 곧, 앞으로 개발자와 보안 담당자는 더 이상 “도구 유무”가 아니라 “어떤 AI를 어떻게 조합해서 쓰느냐”로 경쟁력이 갈린다는 뜻이기도 합니다.

넷째, 지금 당장 할 수 있는 현실적인 액션

코드 보안 도구(SAST, SCA, IaC 스캔)를 CI/CD에 기본 탑재
자격 증명·API 키 노출 방지 툴 도입 및 규칙 강화
AI 서비스(LangChain, LLM API 등) 사용 코드에 대한 사전 리뷰 프로세스 도입³
가능하다면 depthfirst 같은 AI-native 보안 도구도 검토(특히 빠르게 성장하는 SaaS/스타트업이라면)

결국 핵심은 하나입니다.
“AI가 코드를 쓰는 속도만큼, AI가 코드를 지키는 속도도 끌어올려야 한다.”

시사점 정리

depthfirst의 4천만 달러 시리즈 A는, 단순한 스타트업 성공담이 아니라 “AI 시대 소프트웨어 보안의 판이 바뀌고 있다”는 신호로 보는 편이 더 정확합니다.

소프트웨어는 AI 덕분에 더 빠르게, 더 많이 만들어지고 있다.
공격자도 AI를 활용해 공격을 자동화·대규모화하고 있다.
전통적인 보안도구와 인력 중심의 대응은 이 속도를 따라가기 어렵다.
depthfirst는 코드와 인프라를 실제로 ‘이해하는’ AI 에이전트를 통해 이 간극을 메우려 한다.
개발과 보안은 더 가까워질 것이고, “코드 단계에서의 보안”은 앞으로 점점 기본 전제가 될 것이다.

개발자로서, 혹은 보안 담당자로서 우리가 던져야 할 질문은 어쩌면 단순합니다.
“우리 조직의 코드는, 지금 이 순간 누가 지키고 있나?
사람 몇 명, 룰 몇 줄이 전부인가, 아니면 우리 편 AI도 충분히 배치돼 있는가?”

이 질문에 솔직하게 답해보고, 부족하다면 하나씩 채워가는 것.
depthfirst의 이번 라운드 소식을 가장 실용적으로 활용하는 방법일 겁니다.

참고

¹AI security firm, depthfirst, announces $40 million Series A | TechCrunch

²depthfirst Announces $40M Series A to Secure the World’s Software

³Leveraging OSINT Tools for Enhanced Cybersecurity Threat Intelligence

⁴Why Data Security and Privacy Need to Start in Code

⁵Tenable cloud security review (Gartner CNAPP) | Tenable®