검색결과 총 15건
-
제15회 정보보호의 날 개최…AI가 커질수록 보안도 국가경쟁력
[경제일보] 정부가 인공지능(AI) 시대 정보보호 경쟁력 강화를 국가 과제로 내세웠다. AI가 행정과 금융, 산업 현장으로 빠르게 확산되는 만큼 보안 역량이 디지털 경제의 안전판이자 산업 경쟁력이라는 판단이다. 과학기술정보통신부는 국가정보원, 행정안전부 등 관계부처와 함께 8일 서울 신라호텔에서 ‘제15회 정보보호의 날’ 기념식을 개최했다. 올해 행사는 ‘안전한 AI 시대, 대한민국이 앞서갑니다’를 주제로 열렸다. AI 시대 정보보호의 중요성을 되새기고 안전한 AI 사회 구현을 위한 정책 방향을 공유하는 자리다. 이재명 대통령은 대독축사를 통해 “인공지능이 우리 사회 전반으로 빠르게 확산되면서 정보보호의 중요성이 그 어느 때보다 커지고 있다”고 밝혔다. 이어 “범부처 협력체계를 확대해 새로운 위협에 신속히 대응하고 AI 기반 보안 기술과 산업 생태계를 적극 육성하겠다”고 강조했다. 이번 메시지는 AI 확산에 따른 보안 위협의 성격이 달라지고 있다는 인식을 반영한다. 기업과 공공기관은 생성형 AI를 문서 작성, 상담, 코드 개발, 데이터 분석에 활용하고 있다. 동시에 프롬프트 인젝션, 데이터 유출, 모델 오용, 공급망 공격 등 기존 보안 체계로 대응하기 어려운 위험도 커지고 있다. 정부는 정보보호를 규제나 사고 대응 차원이 아니라 산업 육성의 축으로 보고 있다. AI 기반 보안 기술, 위협 탐지, 레드팀, 취약점 점검, 보안 인재 양성이 함께 커져야 안전한 AI 활용 환경이 만들어진다는 판단이다. 앞서 과기정통부와 한국인터넷진흥원은 AI 보안 위협 대응 매뉴얼과 AI 보안 레드티밍 가이드를 발간하며 현장 대응 기준도 제시했다. 이날 기념식에서는 정보보호 발전에 기여한 유공자 35명에 대한 정부 포상도 진행됐다. 이동범 지니언스 대표이사는 국산 보안 기술을 통해 국가 주요 시설 보안 강화와 산업 발전에 기여한 공로로 국민훈장 석류장을 받았다. 김용대 한국과학기술원 교수는 이동통신·사이버물리 보안 연구와 표준·정책 개선 공로로 국민포장을 수상했다. 하재철 호서대학교 교수는 암호용 하드웨어 연구개발과 핵심 원천기술 확보에 기여한 공로로 근정포장을 받았다. 이철호 엔플러스랩 대표이사, 임채식 세종특별자치시 사무관, 황정현 아이닉스 대표이사는 대통령 표창을 받았다. 국무총리 표창 5점도 정보보호 분야 유공자에게 수여됐다. 정부는 7월 한 달을 ‘정보보호의 달’로 지정하고 산·학·연이 참여하는 행사를 이어간다. 정보보호의 날 기념식을 시작으로 AI 보안 레드팀 및 보안취약점 신고·조치·공개 제도 심포지엄, 국제 사이버보안 협력 네트워크(CAMP) 연례회의, 2026 핵테온 세종, 주요정보통신기반시설 보호 워크숍, 정보보호 루키 밋업데이, 코드게이트 해킹방어대회 등이 순차적으로 열린다.
2026-07-08 14:20:57
-
AI도 해킹당한다…정부, 프롬프트 공격 막는 보안 매뉴얼 냈다
[경제일보] 정부가 인공지능(AI) 서비스 보안 위협에 대응하기 위한 실무 매뉴얼을 내놨다. AI가 금융, 의료, 공공, 제조, 통신 등 주요 산업으로 빠르게 확산되면서 프롬프트 인젝션과 권한 오남용, 데이터 유출 같은 새로운 공격에 대응할 기준이 필요해졌기 때문이다. 과학기술정보통신부는 한국인터넷진흥원(KISA)과 함께 ‘AI 보안 위협 대응 매뉴얼’과 ‘AI 보안 레드티밍 가이드’를 발간했다고 8일 밝혔다. 두 자료는 AI 환경에서 발생할 수 있는 주요 보안 위협을 분류하고 산업 현장에서 활용할 수 있는 점검·대응 절차를 제시하는 데 초점을 맞췄다. AI 보안 위협은 기존 정보보호 체계만으로 충분히 막기 어렵다. 공격자가 AI 모델에 악성 명령을 숨겨 원하는 답변을 유도하는 프롬프트 인젝션, 에이전트 권한을 악용한 데이터 접근, 학습 데이터 유출, 외부 모델과 플러그인 공급망 공격 등이 대표적이다. AI가 스스로 도구를 호출하고 업무를 수행하는 에이전트 형태로 발전할수록 공격 표면도 넓어진다. ‘AI 보안 위협 대응 매뉴얼’은 AI 보안 위험을 데이터, 모델, 에이전트, 공급망, 고성능 모델 등 5개 영역으로 나눴다. 각 영역별 진단 지표를 제시하고 금융, 의료, 공공·행정, 교육, 제조·에너지, 통신, 법률, IT 등 8개 분야별 위협 시나리오와 대응 방안도 담았다. 경영진과 실무자의 활용 방식도 구분했다. 최고경영자 등 C레벨에는 AI 보안 위협의 종류와 실제 사례를 쉽게 설명하고, 보안 담당자와 IT 운영자에게는 위협을 어떻게 진단하고 어떤 기준으로 대응할지 안내한다. AI 도입이 기술 부서만의 일이 아니라 경영 리스크 관리로 옮겨가고 있다는 점을 반영한 구성이다. 함께 발간된 ‘AI 보안 레드티밍 가이드’는 기업 내부에서 AI 보안 점검을 직접 수행해야 하는 실무진을 위한 안내서다. 레드팀은 공격자 관점에서 시스템을 시험해 취약점을 찾아내는 조직이다. 이번 가이드는 AI 레드팀을 기획하고 구성하는 단계부터 준비, 실행, 결과 보고까지 전 과정을 다룬다. 현장 활용성을 높이기 위한 부록도 포함됐다. 레드티밍 체크리스트, 점검 도구, 인력별 직무기술서가 담겼다. 정부 차원에서 여러 산업 분야에 적용 가능한 AI 보안 레드팀 운영 기준을 제시했다는 점에서 의미가 있다. 이번 가이드는 기업의 AI 도입 속도가 빨라지는 상황에서 나왔다. 생성형 AI를 고객 상담, 문서 작성, 코드 개발, 데이터 분석에 활용하는 기업이 늘고 있지만 보안 검증 체계는 아직 초기 단계인 경우가 많다. 특히 외부 AI 모델과 사내 데이터가 연결될 경우 정보 유출과 권한 관리 문제가 함께 발생할 수 있다. 임정규 과기정통부 정보보호네트워크정책관은 “AI 기술의 확산과 함께 보안 위협도 빠르게 진화하고 있다”며 “이번 가이드가 AI 서비스의 보안 수준을 높이고 현장에서 활용할 수 있는 실질적인 기준이 되기를 기대한다”고 말했다.
2026-07-08 14:09:43
-
"공격도 AI, 방어도 AI"...AWS·LG CNS가 공개한 차세대 보안 전략
[경제일보] 생성형 인공지능(AI)의 발전으로 사이버 공격 속도가 급격히 빨라지면서 기업 보안 전략도 AI를 활용한 자동화와 실시간 대응 중심으로 전환되고 있다. 공격자가 AI를 활용해 취약점을 빠르게 찾아내는 만큼 방어 역시 사람 중심 대응을 넘어 AI 기반 자율 보안 체계를 구축해야 한다는 것이 업계의 공통된 인식이다. 1일 아마존웹서비스(AWS)는 서울 강남구 AWS코리아 오피스에서 'AWS Security 101' 기자간담회를 열고 고성능 AI 시대 변화하는 보안 환경과 이에 대응하기 위한 AI 기반 보안 전략을 소개했다. 이날 행사에는 신은수 AWS코리아 수석 보안전문 솔루션즈 아키텍트(PSA)와 이진욱 LG CNS RED팀 팀장이 발표자로 나서 AI 기반 보안 기술과 실제 기업 적용 사례를 공유했다. 이날 신은수 AWS 코리아 수석 보안전문 솔루션즈 아키텍트는 고성능 AI가 사이버 공격의 속도와 규모, 접근성을 모두 바꾸고 있다고 진단했다. 과거에는 고위험 취약점 발견과 익스플로잇 제작이 일부 전문가 집단의 영역이었다면, 이제는 생성형 AI를 활용해 누구나 훨씬 빠르게 취약점을 찾고 공격 코드를 제작할 수 있는 환경이 됐다는 설명이다. 그는 AI 시대 보안 위협의 변화로 공격 규모 확대, 공격 속도 가속, 공격 도구 접근성 향상을 꼽았다. AI를 활용하면서 취약점 발견과 익스플로잇 제작 시간이 크게 단축됐고, 이에 따라 기업은 이전보다 훨씬 많은 취약점에 대응해야 하는 상황에 놓였다고 설명했다. 신 아키텍트는 "과거에는 어떤 취약점을 찾는 것조차도 어려웠고, 취약점을 찾아냈다고 하더라도 실제 타겟팅되어 있는 시스템에 써먹을 수 있는 익스플로잇(보안 취약점 혹은 보안 취약점을 이용한 공격)을 만드는 것이 어려웠다"며 "지금은 익스플로잇이 아주 손쉽게 이루어진다"라고 말했다. 이에 AWS는 해당 환경 변화에 대응하기 위해 AI 기반 다층 보안 체계를 운영하고 있다고 설명했다. 수학적으로 보안 정책의 안전성을 검증하는 자동 추론 기술을 주요 보안 서비스에 적용하고 있으며, 하루 수백조 건 규모의 네트워크 데이터를 분석해 이상 징후를 탐지하고 있다. 또한 취약점 발견부터 우선순위 분석, 수정 방안 검증, 실제 조치까지 보안 전 과정을 자동화하는 'AWS 컨티뉴엄'도 소개했다. 이를 통해 침투 테스트와 코드 분석, 위협 모델링 등을 AI가 지원하고, 검증된 결과를 기반으로 기업이 보다 빠르게 대응할 수 있도록 지원한다는 설명이다. 이어 발표에 나선 이진욱 LG CNS RED팀 팀장은 AWS 시큐리티 에이전트를 실제 보안 점검에 적용한 사례를 소개했다. 이 팀장은 최근 대형 보안사고 증가와 AI 전환(AX) 프로젝트 확대, AI 모델 성능 향상으로 침투 테스트 수요가 빠르게 증가하고 있다고 설명했다. 반면 보안 전문 인력은 한정돼 있어 AI 기반 자동화가 필요한 상황이라고 진단했다. LG CNS는 개발 분야에서 AI 활용 경험을 바탕으로 보안 영역에서도 AI 적용 가능성을 검토해 왔으며, 지난해부터 다양한 AI 기반 보안 솔루션을 평가한 끝에 AWS 시큐리티 에이전트를 도입했다고 설명했다. 기존에는 DAST(동적 애플리케이션 보안 테스트)나 전문가가 직접 수행하는 수동 침투 테스트를 활용했지만, DAST는 오탐이 많고 전문가 중심 테스트는 비용과 시간이 많이 소요되는 한계가 있던 것으로 평가된다. 반면 AI 기반 침투 테스트는 추론 과정과 근거를 함께 제공해 결과 검증이 쉽고, 반복적인 점검을 자동화할 수 있다는 점에서 실무 적용 가능성을 확인했다고 강조했다. 이 팀장은 "대시보드도 제공하고 어떻게 침투 테스트를 수행했는지, 어떤 방식으로 했는지에 대한 백데이터들도 상세하게 제공한다"며 "지금 나온 취약점에 대해서 어떤 취약점인지 과정을 재현할 수 있도록 상세한 프로세스를 제공"이라고 말했다. LG CNS는 실제 적용 결과도 공개했다. 동일한 시스템을 대상으로 수행한 테스트에서 AI 에이전트는 약 5시간 만에 점검을 완료했으며, 내부적으로는 약 20시간 동안 복수의 에이전트가 동시에 침투 테스트를 수행했다. 기존 전문가 중심 점검이 평균 4~5일 걸렸던 것과 비교하면 점검 속도가 크게 향상된 것이다. 또한 계정 권한 정보 등 서비스 맥락을 추가로 제공할 경우 탐지 정확도가 약 60%에서 90% 수준까지 향상됐으며, 전문가 검증을 병행할 경우 평균 점검 기간은 5일에서 3일로 줄고 비용은 약 30% 절감됐다. AI 에이전트만 활용하는 반복 점검의 경우에는 점검 기간을 1일 수준으로 단축하고 비용도 최대 80%까지 줄일 수 있을 것으로 평가했다. 특히 고성능 AI 시대에는 개발 초기부터 보안을 적용하는 '시프트 레프트' 전략과 지속적인 보안 검증, AI 에이전트 보안 강화, 조직 전체의 보안 문화 정착이 중요하다고 강조했다. 그는 앞으로는 보안 조직만이 아니라 개발 조직을 포함한 모든 구성원이 AI 기반 보안 도구를 활용하는 문화가 필요하다고 말했다. 이 팀장은 "AI가 발달하면서 해킹 공격에 대한 기술 진입장벽이 굉장히 낮아졌고, 또한 AX 활동들을 많이 하면서 외부 공개 표현도 역시 굉장히 증가하고 있는 상황"이라며 "이런 상황에서 AWS의 시큐리티 에이전트가 해결책이 될 수 있다고 판단했다"고 강조했다.
2026-07-01 14:06:25
-
정부, 美 AI 통제 속...앤트로픽과 안전·보안 동맹
[경제일보] 미국 정부가 국가 안보를 이유로 첨단 인공지능(AI) 모델 접근을 제한하고 나선 가운데 한국 정부가 앤트로픽과 AI 안전·사이버보안 협력에 나섰다. 고성능 AI 모델이 사이버 공격과 방어 양쪽에 모두 활용될 수 있다는 우려가 커지는 상황에서 한국이 글로벌 AI 안전망의 핵심 파트너로 자리 잡을 수 있을지 주목된다. 과학기술정보통신부는 18일 앤트로픽과 AI 안전성 확보 및 사이버보안 협력 업무협약을 체결했다고 밝혔다. 양측은 AI가 사이버 공격과 방어에 미치는 영향을 분석하고 한국어 맥락에서의 AI 모델 안전성 및 오남용 위험을 평가하는 데 협력할 예정이다. 자율형 AI 에이전트에 대한 레드팀 평가도 협력 대상에 포함됐다. 앤트로픽은 챗봇 ‘클로드’와 코딩 특화 도구, AI 에이전트 기술로 빠르게 성장한 프런티어 AI 기업이다. 최근에는 사이버보안 특화 고성능 모델인 ‘미토스’와 관련한 글로벌 논란의 중심에도 섰다. 앤트로픽의 프로젝트 글래스윙은 미토스 계열 모델을 활용해 핵심 소프트웨어의 취약점을 찾고 고치는 방어 목적의 AI 보안 협력체다. 한국에서는 KISA와 주요 기업들이 이 프로젝트에 참여한 것으로 알려졌다. 협약의 의미는 단순한 기술 교류를 넘어선다. AI 모델이 고도화되면서 보안 위험은 두 방향으로 커지고 있다. 방어자는 AI로 취약점을 더 빨리 찾을 수 있지만 공격자 역시 AI를 활용해 악성코드 변형, 취약점 탐색, 피싱 자동화, 침투 시나리오 생성을 시도할 수 있다. 정부가 앤트로픽과 손잡은 것은 이 같은 양면성을 제도권 안에서 평가하고 통제하려는 시도로 볼 수 있다. 과기정통부는 한국 AI 안전연구소와 앤트로픽 간 협력을 통해 AI 모델 및 자율형 AI 에이전트 안전성 평가를 추진할 방침이다. 금융 분야 등 국가적 파급력이 큰 영역에서 AI 기반 취약점 발굴과 사이버 위협 정보 공유도 실무적으로 논의한다. 한국어 환경에서 발생할 수 있는 모델 오남용, 허위정보 생성, 보안 우회 가능성 등을 함께 점검하는 것도 주요 과제다. 정부는 이번 협약을 글로벌 AI 협력 벨트의 한 축으로 보고 있다. 그동안 AI 인프라, 프런티어 모델, 연구 협력 분야에서 글로벌 기업과 접점을 넓혀왔다면 앤트로픽과의 협력은 안전성과 보안 분야를 보강하는 성격이 강하다. AI 산업 경쟁력이 커질수록 모델 성능 못지않게 안전성 평가와 사이버 복원력이 국가 경쟁력의 기준으로 떠오르고 있기 때문이다. 검증대에 오른 부분은 미국의 AI 기술 통제 기조다. 외신에 따르면 미국 정부는 최근 앤트로픽의 고성능 모델 미토스 5와 페이블 5에 대해 외국 국적자의 접근을 제한하는 조치를 내렸다. 앤트로픽은 적용 범위를 선별하기 어렵다는 이유로 해당 모델 접근을 광범위하게 중단한 것으로 전해졌다. 이 조치가 이어질 경우 한국 정부와 기업이 프로젝트 글래스윙을 통해 확보하려던 미토스 접근권에도 제약이 생길 수 있다. 과기정통부는 앤트로픽과 소통하며 상황을 예의주시하고 있다는 입장이다. 앤트로픽 역시 신중한 태도를 보이고 있다. 한국 입장에서는 미국의 첨단 AI 모델에 대한 접근권을 확보하는 동시에 미국 정부의 수출통제와 기술 주권 기조에 따른 불확실성도 관리해야 하는 상황이다. 이번 협약은 한국 AI 정책의 방향을 보여준다. 단순히 해외 모델을 쓰는 것을 넘어 고성능 AI가 초래할 수 있는 위험을 평가하고 방어 기술을 확보하려는 움직임이다. 특히 AI 에이전트가 실제 시스템을 조작하고 코드를 작성하며 업무를 수행하는 단계로 넘어가면 모델 안전성과 사이버보안은 분리하기 어려운 과제가 된다. 성과는 접근권과 실행력에서 갈릴 전망이다. 미토스 같은 첨단 모델에 대한 안정적 접근이 보장되지 않으면 협력은 제한적일 수밖에 없다. 반대로 한국어 환경의 안전성 평가, 금융·공공 분야 취약점 발굴, 국내 보안 인력과 글로벌 모델의 결합이 실질 성과로 이어진다면 한국은 AI 안전·보안 분야에서 독자적 입지를 넓힐 수 있다.
2026-06-18 16:09:55
-
AI도 한국 문화 맞춤 검증…KT, AI 안전성 벤치마크 'KSAFE-MM' 공개
[경제일보] KT가 한국 사회와 문화적 특성을 반영한 멀티모달 인공지능(AI) 안전성 평가 체계를 공개했다. 생성형 AI 확산으로 텍스트를 넘어 이미지와 음성까지 동시에 이해하는 멀티모달 AI 활용이 늘어나는 가운데 국내 환경에 맞는 안전성 검증 기준을 마련해 AI 신뢰성 확보에 나서겠다는 전략으로 풀이된다. 16일 KT는 고려대학교와 공동으로 개발한 멀티모달 대형언어모델(MLLM) 안전성 벤치마크 'KSAFE-MM'을 공개했다고 밝혔다. 최근 생성형 AI 시장은 텍스트 중심 서비스에서 이미지와 음성, 영상까지 통합적으로 처리하는 멀티모달 AI 중심으로 빠르게 진화하고 있다. 다만 AI 모델의 활용 범위가 확대될수록 허위정보 생성, 편향성, 유해 콘텐츠 노출, 개인정보 침해 등 안전성 이슈 역시 함께 커지고 있는 것으로 알려졌다. 특히 글로벌 AI 기업들이 개발한 안전성 평가 기준은 영어권 문화와 사회 환경을 중심으로 설계돼 국내 이용 환경과 문화적 특수성을 충분히 반영하지 못한다는 한계도 제기돼 왔다. 이에 KT와 고려대는 해당 문제를 해결하기 위해 'KSAFE-MM'을 공동 개발했다고 설명했다. 'KSAFE-MM'은 한국 사회의 문화적·사회적 맥락을 반영한 멀티모달 AI 안전성 평가 체계로, 글로벌 공통 위험 요소를 한국 문화 환경에 맞게 재구성한 'KSAFE-MM-G'와 전세 사기, 독도 분쟁 등 국내 특수 이슈를 반영한 'KSAFE-MM-C'로 구성된다. 전체 평가 데이터는 총 1만4135개 샘플 규모다. 연구진은 해당 벤치마크를 활용해 구글의 '젬마'와 네이버의 '하이퍼클로바 X'를 비롯한 12개 글로벌 멀티모달 AI 모델의 안전성을 검증했다. 이번 연구의 가장 큰 특징은 벤치마크 구축 과정을 자동화한 것이다. 기존 AI 안전성 벤치마크는 전문가가 데이터를 수집하고 검수하는 방식이 대부분으로 많은 비용과 시간이 필요했다. 반면 KSAFE-MM은 현지 커뮤니티 기반 민감 주제 수집, 템플릿 기반 질의 생성, 합성 이미지 제작, 탈옥 질의 생성까지 전 과정을 자동화한 4단계 파이프라인을 구축했다. KT와 고려대 연구진은 동일한 파이프라인을 일본어 환경에 적용한 파일럿 프로젝트 'JSAFE-MM-C'도 진행했다. 연구진은 이를 통해 해당 프레임워크가 한국뿐 아니라 다양한 국가와 문화권에서도 활용 가능한 범용 안전성 평가 체계임을 확인했다고 설명했다. 업계에서는 생성형 AI 규제 논의가 본격화되는 가운데 AI 안전성 평가 체계의 중요성이 더욱 커질 것으로 전망하고 있다. 특히 기업들은 AI 서비스 출시 전 위험 요소를 점검하는 레드팀 테스트와 가드레일 모델 검증 수요가 늘어나고 있어 실질적인 활용도가 높을 것으로 분석된다. KT는 이번 연구 결과를 실제 AI 서비스 안전성 검증과 모델 평가, 위험 분석 등에 활용할 계획이다. 연구 결과와 벤치마크 데이터는 '아카이브'와 '허깅페이스'를 통해 공개돼 학계와 산업계가 자유롭게 활용할 수 있다. KT는 최근 다국어 AI 안전성 벤치마크 'XL-세이프티벤치'를 공개한 데 이어 KSAFE-MM을 선보이며 한국형 AI 안전성 평가 체계 구축을 확대하고 있다. KT는 책임 있는 AI 전담 조직을 중심으로 안전성 분류 체계와 평가 로직 개발 등 관련 연구를 지속 추진한다는 방침이다. 박재형 KT AX미래기술원 프론티어 AI Lab장 상무는 "안전성 벤치마크의 공개는 단순한 데이터 배포를 넘어 AI 안전성 연구 생태계 전반이 함께 발전할 수 있는 기반을 만드는 일"이라며 "KSAFE-MM이 학계와 산업계에서 한국어·한국 문화 맥락의 AI 안전성을 검증하는 공통 기준으로 자리잡길 기대한다"고 말했다.
2026-06-16 14:07:30
-
SK쉴더스 EQST, AI 레드팀 대회 1위…판단 오류 취약점 공략
[경제일보] SK쉴더스 화이트해커 그룹 EQST가 글로벌 AI 레드팀 해킹대회에서 우승하며 인공지능 보안 역량을 입증했다. 생성형 AI가 산업 현장과 공공서비스 전반으로 확산되는 가운데 AI의 판단 오류를 유도하는 새로운 위협에 대응할 전문성이 중요해지고 있다는 평가다. SK쉴더스는 글로벌 AI 레드팀 해킹대회 ‘Judgement Day’에서 EQST 소속 김병현 선임이 최종 1위를 차지했다고 15일 밝혔다. 같은 팀의 마준영 선임과 김신우 선임도 각각 5위와 7위에 올라 상위권에 이름을 올렸다. 이번 대회는 AI 에이전트가 금지된 행동을 수행하거나 필수 안전 조치를 누락하도록 유도하는 공격 기법을 평가하는 방식으로 진행됐다. 단순히 시스템을 침투하는 기존 해킹과 달리 AI의 의사결정 과정을 교란하는 데 초점을 맞췄다. 시나리오는 실제 산업 환경을 반영했다. 응급환자 분류 오류, 댐 수위 판단 왜곡, 항공기 이상 징후 미탐지 등 8개 과제가 제시됐다. AI 판단이 잘못될 경우 응급실에서 중증 환자의 우선순위가 뒤바뀌거나 항공기 이상 신호가 정상으로 인식되는 등 금전적 손실을 넘어 인명 피해로 이어질 수 있음을 보여준 것이다. 김병현 선임은 이미지, 음성, 영상 등 여러 형태의 입력을 활용하는 멀티모달 프롬프트 인젝션 공격으로 높은 점수를 얻었다. 이미지 안에 잘못된 행동을 유도하는 문구를 숨기거나 실제 시스템 로그처럼 보이는 입력을 설계해 AI가 기존 규칙을 따르지 않도록 유도했다. 동일한 문제를 다양한 방식으로 빠르게 공략한 점도 높은 평가를 받았다. EQST는 국내외 주요 해킹대회에서 꾸준히 성과를 내 온 SK쉴더스의 화이트해커 조직이다. 폰투온 오토모티브, 블랙햇, 데프콘, 드림핵 등 글로벌 보안 무대에서 실전 역량을 축적해왔다. 최근에는 AI 시스템을 겨냥한 레드팀 서비스와 위협 분석 역량을 강화하고 있다. SK쉴더스는 EQST가 다양한 산업에서 축적한 침해 대응 경험과 위협 인텔리전스를 바탕으로 고객사의 AI 시스템 취약점 사전 식별을 지원하고 있다고 설명했다. 글로벌 기준인 ‘OWASP Top 10 for LLM’을 반영한 자체 프레임워크를 통해 AI 보안 점검과 대응 전략도 제공하고 있다. 김병현 SK쉴더스 EQST Lab팀 선임은 “AI 판단을 교란하는 공격 가능성을 실제로 검증하고 그 결과가 AI 안전성 연구로 이어진다는 점에서 큰 보람을 느낀다”며 “앞으로도 새로운 AI 위협에 대응하는 연구를 지속하겠다”고 말했다. 김병무 SK쉴더스 사이버보안부문장 부사장은 “생성형 AI가 산업 전반으로 확산되면서 AI 보안은 선택이 아닌 필수 역량이 되고 있다”며 “이번 대회에서 검증한 AI 레드팀 역량을 바탕으로 고객이 AI를 안전하고 신뢰성 있게 활용할 수 있도록 지원하겠다”고 밝혔다. 이번 성과는 AI 보안의 무게중심이 침입 차단에서 판단 검증으로 옮겨가고 있음을 보여준다. AI가 의료, 항공, 재난 대응처럼 사람의 생명과 직결된 의사결정에 활용될수록 공격자는 시스템의 벽보다 판단의 틈을 노릴 가능성이 크다. SK쉴더스 EQST의 우승은 국내 보안업계가 이 새로운 전장에서도 경쟁력을 갖추고 있음을 보여준 사례다.
2026-06-15 09:55:44
-
-
KB금융, AI 기반 사이버 보안위협에 'AI 대 AI' 방어체계로 대응 추진 外
[경제일보] KB금융, AI 기반 사이버 보안위협에 'AI 대 AI' 방어체계로 대응 추진 KB금융그룹이 인공지능(AI) 기반 사이버 보안 위협에 대응하기 위해 'AI 공격에는 AI로 대응한다'는 원칙을 기반으로 그룹 차원의 보안체계를 강화한다고 26일 밝혔다. KB금융은 △정보보호 실태점검과 보안업무 자동화 체계 구축 △제로트러스트 체계 강화 △그룹 사이버보안센터 운영 등을 통해 통합 보안 역량을 높이고 있다. 올해 그룹 정보보호 실태점검에는 AI 기술을 도입했다. 기존 화이트해커 중심의 점검에 자체 개발한 모의해킹 AI 에이전트와 외부 전문기관의 AI 에이전트를 함께 활용한다. AI 에이전트와 RPA를 결합한 24시간 보안 모니터링 체계도 구축했다. 금융보안 위협과 취약점 정보를 실시간으로 수집·분석하고 이상행위 탐지와 정보유출 징후 파악 업무를 자동화했다. 제로트러스트 기반 다층 방어체계도 강화하고 있다. 망분리와 다중인증, 접근통제 체계를 유지하면서 클라우드 환경 등 그룹 전반에 제로트러스트 원칙을 확대 적용한다. KB금융은 그룹 사이버보안센터도 출범했다. 그룹 사이버보안센터는 공격자 관점에서 보안 취약점을 식별하는 레드팀과 실시간 위협 탐지·차단을 담당하는 블루팀을 연계한 공동 대응체계다. 전 계열사를 대상으로 외부노출 자산 점검과 모의침투 기반 공격 검증, AI 기반 취약점 관리를 진행한다. KB금융 관계자는 "AI 기술 발전으로 사이버 공격이 자동화·고도화되면서 AI 기반 사이버 위협은 더 이상 잠재적 리스크가 아닌 현실적 리스크로 다가오고 있다"며 "KB금융은 선제적으로 구축·운영하고 있는 AI 기반 보안대응 체계를 중심으로 어떠한 위협 환경에서도 고객이 안심할 수 있는 안전한 금융 환경을 제공하기 위해 최선을 다할 것"이라고 말했다. 케이뱅크, 취약계층 아동·청소년 나들이 지원사업 진행 케이뱅크가 5월 가정의 달을 맞아 취약계층 아동·청소년을 대상으로 사회공헌 프로그램 'K-joyful 아동·청소년 나들이 지원사업'을 실시했다고 26일 밝혔다. 이번 사업은 경제적 여건에 따른 체험활동 경험 격차를 줄이고 아동·청소년의 사회성 형성을 지원하기 위해 마련됐다. 케이뱅크는 임팩트비즈니스재단과 함께 총 6개 아동 시설을 선정하고 기관별 특성과 필요에 따라 나들이 지원과 운동회 지원 방식으로 프로그램을 운영했다. 5개 기관에는 각 400만원의 나들이 지원금을 전달했다. 각 기관은 놀이공원과 워터파크 방문, 농촌 체험 등 자율적인 나들이 프로그램을 진행했다. 이와 함께 1개 기관에는 운동회 프로그램을 지원했다. 지난 23일 열린 운동회에서는 왕복 전세버스와 푸드트럭, 단체 티셔츠와 기념 굿즈 등이 제공됐다. 케이뱅크 관계자는 "5월 가정의 달을 맞아 아이들이 하루만큼은 걱정 없이 마음껏 뛰놀며 기분 좋은 하루를 보낼 수 있기를 바라는 마음으로 이번 프로그램을 준비했다"며 "앞으로도 금융 포용과 사회적 가치를 높일 수 있는 사회공헌 활동을 지속해 나갈 예정"이라고 말했다. 우리은행, LCK MSI 대표 선발전 기념 프로모션 실시 우리은행이 국내 e스포츠 리그 '리그 오브 레전드 챔피언스 코리아(LCK)'의 MSI 대표 선발전을 맞아 팬 고객 대상 온·오프라인 프로모션을 진행한다고 26일 밝혔다. 이번 프로모션은 다음달 12일부터 14일까지 열리는 MSI 대표 선발전과 연계해 마련됐다. 고객은 26일부터 우리WON뱅킹 내 혜택 메뉴에서 온라인 이벤트에 응모할 수 있다. 우리은행은 추첨을 통해 현장 관람 고객에게 MSI 대표 선발전 티켓 1인 2매를 제공한다. 집에서 경기를 보는 고객에게는 치킨과 커피 기프티콘을 제공한다. 10대 청소년 고객 대상 이벤트도 진행한다. 청소년 전용 용돈관리 서비스 '우리틴틴' 가입 고객은 별도 이벤트 응모를 통해 MSI 대표 선발전 티켓을 받을 수 있다. '우리은행 한정판 LCK 로스터 랜덤 카드팩' 증정 이벤트도 마련했다. 카드팩은 LCK 선수 카드 5장으로 구성되며 일부 카드에는 홀로그램 디자인이 적용됐다. 오프라인에서는 오는 30일과 31일 치지직 LoL Park에서 '우리은행 Day'를 진행한다. 현장에서는 무작위 뽑기 이벤트를 통해 LoL 챔피언 피규어, Riot Store 공식 상품, LCK 선수 한정 카드 등을 제공한다. 우리은행 관계자는 "이번 프로모션은 LCK MSI 대표 선발전을 기다려온 팬 고객에게 차별화된 즐거움을 제공하기 위해 마련했다"며 "앞으로도 우리은행은 LCK 메인 스폰서로서 팬들의 니즈를 반영한 다양한 콘텐츠와 혜택을 지속적으로 선보이겠다"고 말했다.
2026-05-26 16:20:42
-
SK쉴더스 "보안 점검 넘어 실전 검증으로 전환해야"
[경제일보] SK쉴더스가 기업 보안의 기준이 단순 점검에서 실전 검증으로 이동하고 있다고 강조했다. 클라우드와 외부 서비스 연동이 보편화되면서 보안 경계가 흐려진 만큼 실제 공격 상황에서 탐지와 대응 체계가 제대로 작동하는지 확인해야 한다는 설명이다. SK쉴더스는 5월 보안 인사이트를 통해 최근 사이버 보안의 핵심 화두가 ‘점검’이 아닌 ‘검증’으로 바뀌고 있다고 밝혔다. 기존에는 보안 인증 보유 여부나 정기 점검이 주요 기준이었다면, 이제는 실제 침투 시도를 가정한 대응력 검증이 중요해졌다는 것이다. 최근 사이버 공격은 유출 계정 악용, 자동화 공격, 다중 취약점 결합 등으로 정교해지고 있다. 클라우드 도입과 외부 서비스 연동이 늘어나면서 기업이 보호해야 할 공격 표면도 넓어졌다. 이에 따라 “방어벽이 얼마나 견고한가”보다 “공격이 시작됐을 때 얼마나 빨리 탐지하고 대응할 수 있는가”가 더 중요한 기준이 되고 있다. SK쉴더스는 실전 대응력을 높이기 위해 공격 표면 관리, 모의해킹 기반 침투 검증, 탐지·대응 체계 연계를 핵심 요소로 제시했다. 외부에 노출된 서버와 계정 포트 등 공격 가능한 자산을 지속적으로 식별하고, 취약점 점검을 넘어 실제 침투 가능 경로까지 확인해야 한다는 설명이다. 또 발견된 취약점이 보안관제와 사고 대응 체계 안에서 실제로 차단 가능한지도 함께 검증해야 한다. 랜섬웨어 대응 전략도 주요 과제로 언급됐다. SK쉴더스는 랜섬웨어가 더 이상 일부 대기업만의 문제가 아니며, 예방만으로 피해를 막기 어려운 위협이 됐다고 지적했다. 최근 랜섬웨어 공격은 정상 계정 탈취, 원격 데스크톱 프로토콜(RDP) 악용, 공급망 공격 등 다양한 경로로 침투해 장시간 잠복한 뒤 피해를 확대하는 양상을 보이고 있다. 이에 따라 사고 발생 이후 감염 범위를 빠르게 확인하고 내부 확산을 우선 차단하는 대응 체계가 필요하다고 강조했다. 이상 징후가 발견되면 연관 계정과 시스템 범위를 신속하게 식별하고, 원격접속과 계정 권한, 네트워크 이동 경로를 통제해야 한다. 백업만으로는 한계가 있는 만큼 상시 모니터링과 침해사고 대응 체계를 함께 갖춰야 한다는 것이다. 실제 공격자 관점의 보안 검증 방식인 레드팀 전략도 주목할 필요가 있다고 설명했다. 레드팀은 해커의 시각에서 침투와 내부 확산 시나리오를 재현하며 조직의 실질적인 대응 역량을 확인하는 방식이다. 단순 취약점 진단과 달리 피싱, 사회공학 기법, 내부 이동, 권한 상승 등 실제 공격 절차를 반영해 방어 체계의 허점을 찾는 데 초점이 있다. SK쉴더스는 기존 탐지·차단 중심 보안 체계만으로는 고도화된 공격에 충분히 대응하기 어렵다고 봤다. 실제 해커처럼 침투 가능 경로를 사전에 검증하고, 공격 시나리오별 대응 절차가 작동하는지 확인해야 한다는 것이다. 생성형 AI 기반 보안관제 자동화도 새로운 흐름으로 제시됐다. SK쉴더스는 최근 보안관제 환경에서 경보 분류, 조사, 보고 등 반복 업무를 중심으로 AI를 활용하는 사례가 늘고 있다고 설명했다. 다만 AI 산출물은 참고자료나 초안 수준으로 활용하고 최종 판단은 보안 분석가가 검토·확정하는 운영 체계가 필요하다고 강조했다. 이번 인사이트는 기업 보안이 인증 취득이나 정기 점검만으로는 충분하지 않다는 점을 보여준다. 실제 공격자는 기업의 인증 보유 여부와 무관하게 노출된 계정과 취약한 설정, 외부 연동 지점을 노린다. 따라서 보안 조직은 자산 식별부터 침투 검증, 관제 연계, 사고 대응까지 이어지는 실전형 체계를 갖춰야 한다. 향후 기업 보안 투자는 예방 장비 중심에서 검증과 대응 중심으로 이동할 가능성이 크다. 공격 표면 관리, 레드팀, 랜섬웨어 대응 훈련, AI 기반 관제 자동화가 통합적으로 운영될 때 보안 수준을 실제 위험 감소로 연결할 수 있다. 특히 중소·중견기업은 전문 인력과 예산이 제한적인 만큼 외부 보안 전문기업과의 협업을 통해 실전 대응 체계를 보완할 필요가 있다. SK쉴더스측은 “정기 점검만으로 충분한지 다시 봐야 할 때”라며 “공격자 관점에서 침투 가능성과 대응 체계를 함께 검증하는 실전형 보안 검증이 필요한 시점”이라고 전했다.
2026-05-13 11:02:53
-
-
-
-
앤트로픽, '미토스'로 사이버 보안 동맹 구축… '기술 유출' 아닌 '방어 우선' 선택
[경제일보] 인공지능(AI) 기업 앤트로픽이 아직 일반에 공개되지 않은 최신 AI 모델 ‘미토스(Mythos)’를 아마존웹서비스(AWS), 구글, 애플, 마이크로소프트(MS) 등 주요 빅테크 기업들에 선제적으로 제공한다. 7일(현지시간) 앤트로픽은 ‘프로젝트 글래스윙(Project Glasswing)’이라는 이름의 공동 계획을 발표하며 AI가 해커의 손에 들어가 악용되기 전에 방어하는 쪽이 기술적 우위를 점해야 한다고 밝혔다. 이는 AI 기술의 고도화가 가져올 잠재적 위험성을 인정하고 기술 기업들이 자발적으로 ‘방어 동맹’을 구축한 첫 사례라는 점에서 의미가 깊다. 이번 결정의 배경에는 ‘미토스’가 지닌 압도적인 성능이 있다. 사이버 보안 취약점 재현 성능지표(벤치마크)인 ‘사이버짐’ 평가에서 미토스의 점수는 83.1%로 기존 최상위 모델인 ‘오퍼스 4.6’(66.6%)을 큰 격차로 뛰어넘었다. 앤트로픽은 “미토스가 소프트웨어 취약점을 발견하는 데 있어 최고 숙련자들을 제외한 대부분의 인간을 능가한다”고 밝혔다. 이러한 능력은 곧 ‘양날의 검’이다. 방어하는 입장에서는 보이지 않던 취약점을 찾아내는 강력한 무기가 되지만 공격하는 입장에서는 기존의 보안 시스템을 무력화하는 ‘만능키’가 될 수 있다. 특히 분야별 박사급 전문가 수준의 문제를 모은 ‘인류의 마지막 시험(HLE)’ 점수에서 AI 모델 최초로 50%의 벽을 넘어선 것은 미토스가 인간의 지능에 근접했음을 시사한다. 이 기술이 통제 없이 외부에 유출될 경우 국가 단위의 사이버 전쟁이나 금융 시스템 마비 등 예측 불가능한 대혼란이 발생할 수 있다. 이에 앤트로픽은 미토스를 일반에 공개하는 대신 ‘프로젝트 글래스윙’이라는 방어 동맹을 선택했다. 이 프로젝트에는 AWS, 애플, 구글, MS, 엔비디아 등 AI 인프라를 지배하는 빅테크 기업들과 시스코, 팔로알토 등 보안 전문 기업 그리고 JP모건체이스와 같은 금융 기업까지 초기 파트너로 참여했다. 앤트로픽은 이들 기업에 최대 1억 달러 규모의 모델 사용권을 제공하고 오픈소스 보안 단체들에는 400만 달러를 기부할 계획이다. 이는 기술을 독점하려는 것이 아니라 인터넷 생태계의 주요 플레이어들이 힘을 합쳐 AI가 가져올 수 있는 부작용을 최소화하자는 ‘공동 책임’의 선언이다. 다리오 아모데이 CEO는 “AI를 잘못 다루면 위험하지만, 잘만 다루면 근본적으로 더 안전한 세상을 만들 기회가 생긴다”며 이번 프로젝트의 의미를 강조했다. 앤트로픽은 이번 프로젝트를 미 정부 당국자들과도 논의해왔다고 밝혔다. 이는 AI 기술이 더 이상 민간 기업의 영역을 넘어 ‘국가 안보’의 핵심 자산이 되었음을 의미한다. 앤트로픽은 “이러한 사이버 역량의 등장은 미국과 동맹국들이 AI 기술 분야에서 확고한 우위를 유지해야 하는 또 다른 이유”라며 정부와의 협력 의지를 분명히 했다. 향후 AI 기술 개발은 ‘성능 경쟁’과 ‘안전 경쟁’이라는 두 가지 축으로 전개될 것이다. 오픈AI, 구글, 앤트로픽 등 선두 기업들은 이제 단순히 더 똑똑한 AI를 만드는 것을 넘어 ‘우리의 AI가 얼마나 안전한가’를 증명해야 하는 시대에 진입했다. 미토스와 같은 공격적인 AI를 활용해 자사의 시스템 취약점을 점검하는 ‘AI 레드팀’이 기업 보안의 표준이 될 것이다. 정부는 AI 기술의 군사적 전용을 막기 위해 핵심 모델에 대한 수출 통제나 라이선스 규제를 강화할 가능성이 높다. 앤트로픽의 이번 ‘선제적 협력’은 이러한 규제 흐름 속에서 기업의 자율성을 확보하려는 전략적 행보로도 볼 수 있다. AI가 창과 방패 역할을 모두 하게 되면서 AI 기반의 사이버 보안 솔루션 시장은 폭발적으로 성장할 것이다. 앤트로픽의 이번 결정은 AI 기술 개발의 패러다임을 바꾸는 중요한 전환점이다. 그동안 기술 기업들은 ‘성능’을 최우선으로 추구하며 ‘안전’ 문제를 부차적인 것으로 여겨왔다. 하지만 앤트로픽은 자사가 개발한 강력한 기술이 가져올 수 있는 위험을 스스로 인정하고 이를 해결하기 위해 경쟁사들과 손을 잡는 전례 없는 선택을 했다. 물론 이러한 ‘자발적 규제’가 얼마나 실효성을 가질지에 대한 회의적인 시각도 존재한다. 하지만 인류를 위협할 수 있는 기술을 개발한 기업이 스스로 그 위험을 통제하려는 책임감 있는 자세를 보였다는 점만으로도 이번 ‘프로젝트 글래스윙’은 AI 시대의 윤리적 이정표로 기록될 것이다. 미토스의 등장은 우리에게 질문을 던진다. 우리는 과연 이 강력한 지능을 통제할 준비가 되어 있는가. 앤트로픽과 빅테크들의 동맹은 그 질문에 대한 첫 번째 응답이다.
2026-04-08 07:45:06
-
-