“AI 침해사고 비용 3배 높아... 오펜시브 연구 고도화 할 것”

[보안뉴스 강현주 기자] 빅데이터 분석 인공지능(AI) 기업 에스투더블유(S2W)가 AI 시대의 최신 공격 기법과 모의해킹 등 오펜시브 보안을 통한 대응 전략을 제시했다.

S2W는 15일 성남 판교 소재 본사에서 ‘AI 시대의 새로운 보안 전략: 실사례로 알아보는 대응책’을 주제로 고객사 대상 프라이빗 세미나를 진행했다고 16일 밝혔다.


▲S2W 개최 ‘AI 시대 보안 전략 세미나’ 현장 [출처: S2W]

이날 행사는 양종헌 S2W 오펜시브부문장의 발표를 중심으로, 제조·금융·정보기술(IT)·유통 등 국내 다양한 산업군의 정보보호최고책임자(CISO) 및 주요 보안 담당자들이 참석한 가운데 진행됐다. 양 부문장은 △입력 조작 △무결성 침해 △에이전트 연계 △합성 신원 등 대표적인 AI 특화 공격 방식과 실사례 분석을 통해 도출한 시사점 등을 소개했다. 기존의 보안이 시스템 결함을 막는 것이었다면 AI 보안의 핵심은 ‘인지적 논리’의 허점을 방어하는 데 있다는 메시지다.

이어 ‘라케라 간달프’(Lakera Gandalf)와 ‘프롬프트 에어라인’(Prompt Airlines) 등 실제 시나리오에 기반한 CTF(Capture The Flag)와 워게임(War Game) 등을 예로 들어 주요 AI 공격 기법과 프롬프트 예시, 취약점 패턴 등을 설명했다. AI 및 LLM 특화 보안 사고가 비즈니스에 미칠 수 있는 영향도에 대한 분석 결과를 공유하며 “IBM의 2025년 보고서에 따르면 AI 침해사고의 평균 비용은 전통적 침해 대비 3배가량 높다”라고 부연했다.

AI 시대에 준수해야 할 보안 원칙에 대한 설명도 이어졌다. 양 부문장은 △비사용(효용보다 위험이 큰 영역에선 AI 비적용) △데이터 최소화(컨텍스트 내 민감 정보 불포함) △최소 권한 및 격리(AI 에이전트의 역할과 도구 접근 권한 등 세분화)를 제시했다.

가드레일 우회 가능성은 상존하기 때문에 완벽한 방어란 불가하므로, 차단 중심의 사고에서 벗어나 실시간 탐지·대응 체계를 내재화하고 모의해킹을 수시로 실시하며 취약점을 지속 관리하는 방식이 현실적이라는 게 S2W의 조언이다.

S2W는 이와 같은 보안 패러다임의 전환에 발맞춰 고도의 AI 기술과 숙련된 화이트해커의 심층 분석력을 결합한 모의해킹 서비스를 제공하고 있다. 자체 AI 도구를 활용해 공격표면 탐지 및 1차 취약점 검증에 소요되는 시간을 대폭 단축하고, 실제 공격자들이 활용하는 상용 도구를 이용해 AI 스캔의 사각지대를 보완하며 탐지된 취약점의 유효성을 이중 확인한다.

이후 다년간의 경력을 보유한 오펜시브 보안 전문가가 자동화 도구로는 찾을 수 없는 비즈니스 로직의 치명적 허점을 수동 공략함으로써 최종 파급력을 증명하고 있다.

이 과정에서 인증 우회 및 최초 침투, 권한 탈취 및 시스템 장악, 내부망 전이 및 데이터베이스(DB) 장악 등 실제 해커 방식의 공격 시나리오를 적용한다. 고객이 향후 직면할 수 있는 보안 위협을 선제적으로 식별하고 실효성 있는 방어 대책을 수립하도록 지원한다. 이를 통해 기업들은 막대한 금전적 피해와 브랜드 신뢰도 하락을 예방할 수 있을 것으로 기대된다.

세미나에 참석한 보안 전문가는 “AI 시대의 지능형 위협에 대한 실전적 인사이트를 얻을 수 있는 유익한 시간이었다”라며 “침해사고 발생을 미연에 방지할 수 있는 선제 대응 체계 구축의 일환으로 모의해킹 도입도 적극 검토할 계획”이라고 덧붙였다.

양 부문장은 “AI를 활용한 보안의 목표는 우회 시도를 신속하게 탐지해 정책을 지속적으로 업데이트하는 동적 방어체계를 구축함으로써 공격자의 공격 비용과 포기 가능성을 높이는 데 있다”라며 “향후에도 공격자 관점에서의 취약점 발굴과 시나리오 검증을 수행하는 오펜시브 연구를 더욱 고도화하며, AI 시대에 불안감을 해소할 수 있는 액션 아이템을 제공하는 데 주력할 것”이라고 말했다.



[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>