프롬프트 인젝션 등 신종 위협 대응 위한 국제표준 기반 실무 지침 마련
[보안뉴스 조재호 기자] 범용 AI와 에이전트 확산으로 데이터 유출 리스크가 고조되는 가운데, 정부가 공격자 관점의 보안 취약점 점검을 위한 가이드를 발간했다. 산업별 위협 시나리오와 레드팀 운영 방안 등을 제시하며 국내 소프트웨어 산업의 보안 체계 구축을 돕는다.

8일 과학기술정보통신부와 한국인터넷진흥원(KISA)은 AI 서비스 확산에 따른 보안 위협에 효과적으로 대응하기 위해 ‘AI 보안 위협 대응 매뉴얼’과 ‘AI 보안 레드티밍 가이드’를 발간했다고 밝혔다.
이번 가이드는 공격자 관점에서 취약점을 식별하는 구체적 실무 기준을 제시해 일선 현장의 자체 방어 역량을 강화하는 데 중점을 뒀다.
최근 AI 기술이 전 산업으로 확산하며 혁신을 견인하고 있으나, 기존의 정보보호 체계만으로는 검증해 내기 힘든 프롬프트 인젝션이나 권한 오남용, 데이터 유출 등 새로운 유형의 사이버 위협이 급증하고 있다. 특히 지능화된 에이전트가 도입되면서 방어벽 내부에서 발생하는 비정상적 행위를 사전에 통제하기 어려워졌다. 이에 따라 모델에 의도적으로 맹점을 유도해 위험을 찾아내는 ‘레드팀’의 중요성이 커지고 있다.
발간된 2종의 가이드는 현장 실무 중심으로 구성됐다.
‘AI 보안 위협 대응 매뉴얼’은 데이터, 모델, 에이전트 등 다방면의 위협을 분류하고 금융, 의료, 공공·행정 등 8개 주요 도메인별 맞춤형 시나리오와 대응 방안을 제공한다.
함께 배포된 ‘AI 보안 레드티밍 가이드’는 국제표준안(ISO/IEC 42119-7)을 기반으로 기획부터 결과 보고까지 레드팀 운영의 전 과정을 담았다. 체크리스트와 직무기술서 등도 포함됐다.
이들 가이드라인은 기업의 경영진과 보안 담당자 등이 AI 보안을 바라보는 시각을 체계화하고, 일선 현장의 컴플라이언스 기준을 확립하도록 돕는다. 민간 실무자와 전문기업, 학계의 자문을 폭넓게 수렴하여 제정됐다.
정부는 향후 관련 지원 사업을 통해 공격 시나리오와 적용 도메인을 지속적으로 발굴하고 최신 기술 동향을 반영해 검증 체계를 고도화할 계획이다.
임정규 과기정통부 정보보호네트워크정책관은 “AI 기술의 확산과 함께 보안 위협도 빠르게 진화하고 있다”며 “이번 가이드가 AI 서비스의 보안 수준을 높이고 현장에서 활용할 수 있는 실질적 기준이 되기를 기대한다”고 말했다.
[조재호 기자(zephyr@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>








.jpg)





