신은수 AWS 수석 보안전문 솔루션즈 아키텍트는 미토스 등으로 대표되는 고성능 AI가 몰고 온 위협의 변화를 세 가지로 정리했다. 첫째는 규모다. 과거 중대 취약점 발견은 대부분 전문가 집단의 영역이었으나, 이제는 AI를 활용해 손쉽게 취약점을 찾아낼 수 있어 기업이 처리해야 할 취약점의 수 자체가 급증한다. 둘째는 속도로, 취약점 발견과 익스플로잇 개발에 필요한 시간이 과거 대비 현저히 줄었다. 셋째는 접근성이다. 특정 해커 집단이나 전문 지식 보유자에게 국한됐던 고위험 취약점 발견이, 누구나 접근 가능한 AI 도구의 등장으로 문턱이 크게 낮아졌다.
신 아키텍트는 이러한 변화가 기업과 업계에 미치는 영향으로 취약점 분석·대응 과부하, 규정 준수 체계의 한계, 리스크 관리 체계의 무력화를 꼽았다. 하루 한두 개씩 나오던 취약점이 수십, 수백 개씩 쏟아지면 수작업 패치 프로세스로는 감당하기 어려워지고, 제한된 전문 인력의 번아웃으로 이어질 수 있다는 것이다. 그는 단순히 패치 속도를 높이는 것만으로는 충분하지 않으며, 취약점 대응 프로세스와 보안 거버넌스 자체를 개선해야 한다고 강조했다.
특히 오랜 검토 기간을 거쳐 발표되는 보안 프레임워크나 사람이 공격을 수행하던 환경을 전제로 설계된 리스크 관리 체계는, 이보다 훨씬 빠르게 진화하는 AI 기반 공격에 재검토가 필요하다고 지적했다. 신 아키텍트는 “속도와 규모 자체가 달라졌기 때문에 과거 잘 작동하던 위험관리 체계가 더 이상 유효하지 않을 수 있다”며 “보안 거버넌스와 운영 프로세스까지 함께 변화해야 한다”고 말했다.
이 같은 변화에 대응하기 위해 AWS는 AI 기반 보안 서비스를 확대하고 있다. 대표 서비스인 AWS 시큐리티 에이전트는 위협 모델링, 설계 리뷰, 코드 리뷰, 침투 테스트를 자동으로 수행하도록 지원한다. 위협 모델링은 시스템 설계 문서나 API 문서, 코드 등을 분석해 잠재적 위협을 식별하고, 설계 리뷰는 기업이 요구하는 보안 기준을 시스템이 충족하는지 검토한다. 코드 리뷰는 깃허브나 S3 등에 저장된 소스 코드를 분석해 취약점을 찾아낸다.
이 가운데 현재 정식 제공되는 기능은 침투 테스트다. 생성형 AI 에이전트가 실제 화이트해커처럼 대상 시스템을 분석하고 공격을 수행해 취약점을 찾아내는 방식으로, 여러 모델과 에이전트가 동시에 동작하며 복잡한 취약점을 탐색한다. 사람이 직접 수행하던 침투 테스트를 자동화한 것으로, AWS 환경에 올라간 서비스뿐 아니라 인터넷·VPN·전용선 등으로 접근 가능한 시스템도 점검 대상이 될 수 있다.
AWS는 최근 공개한 컨티뉴엄(Continuum)을 통해 시큐리티 에이전트의 보안 점검 기능을 개발 수명주기 전반으로 확장하고 있다. 컨티뉴엄은 여러 AI 에이전트가 협력해 코드 취약점을 분석하고, 샌드박스 환경에서 실제 실행 여부를 검증해 오탐을 줄이는 보안 서비스다. AWS에 따르면, 이 서비스는 취약점의 기술적 심각도뿐 아니라 비즈니스 영향을 함께 고려해 우선순위를 제시하고, 교정 방안까지 제공한다. AWS는 향후 위협 모델링, 설계 리뷰, 코드 리뷰, 침투 테스트 등 시큐리티 에이전트의 주요 기능을 컨티뉴엄으로 통합할 계획이라고 설명했다.
실제 기업 현장에서도 AI 기반 보안 자동화 효과가 나타나고 있다. 기자간담회에 참석한 이진욱 LG CNS 레드팀 팀장은 클라우드와 AI 프로젝트가 늘면서 침투 테스트 수요가 빠르게 증가하고 있지만 전문 화이트해커 인력은 제한적이어서 새로운 대응 방안을 검토하게 됐다고 설명했다. 특히 대형 보안 사고 이후 고객들의 침투 테스트 요구가 늘어난 데다, AI 프로젝트 확산으로 점검 대상도 크게 증가했다고 밝혔다.
LG CNS는 기존 보안 프로세스에 AWS 시큐리티 에이전트를 더하는 방식으로 침투 테스트를 수행하고 있다. AI가 자동으로 취약점을 탐지하면 화이트해커는 결과를 검증하거나 복잡한 비즈니스 로직만 추가 분석한다. 이 팀장은 “사람이 수행하면 4~5일 걸리던 침투 테스트를 약 5시간 만에 완료할 수 있었다”며 “반복 점검에서는 최대 80% 수준의 비용 절감 효과도 기대하고 있다”고 말했다. 최대 90% 이상의 탐지 정확도도 확인했다고 덧붙였다.
“보안팀의 역할은 바뀌되 필요성은 유지”
신 아키텍트는 고성능 AI 위협 환경에서 기업이 취해야 할 대응 방향으로 시프트 레프트(Shift Left)를 가장 중요한 원칙으로 제시했다. 프로덕션 단계에서 취약점을 수정하기보다 개발·빌드 단계에서 발견해 바로잡는 것이 훨씬 효율적이며, 사후 패치보다 애초에 패치가 필요한 상황 자체를 줄이는 것이 중요하다는 설명이다. 이 과정에서 AI 기반 보안 도구는 보안팀보다 개발팀이 직접 활용할 때 더 큰 가치를 발휘하며, 결국 보안을 단순한 도구가 아니라 조직 문화로 내재화해야 한다고 강조했다.
그렇다면 이런 변화 속에서 보안 조직의 미래는 어떻게 진화해야 할까. CIO 코리아가 AI 시대 보안팀의 역할과 규모가 어떻게 달라질 것으로 보는지 묻자, 신 아키텍트는 “보안팀은 사라지지 않을 것”이라고 답했다. 다만 보안팀이 지침을 만들고 다른 조직이 이를 따르는 기존 문화는 바뀌어야 한다고 강조했다. 최근 AI 특화 보안 도구들이 보안팀이 아닌 개발팀 등 다른 조직이 직접 활용하도록 설계되는 사례가 느는데, 과거 방화벽처럼 보안팀이 운영을 전담하는 방식으로 접근하면 효과를 충분히 끌어내기 어렵다는 것이다. 시프트 레프트를 실현하려면 개발자가 코드를 작성하는 과정에서 직접 취약점을 찾아 수정해야 하므로, 도구를 쓰는 주체뿐 아니라 운영의 중심도 개발 조직이 돼야 한다는 설명이다.
특히 그는 이 변화가 보안팀만의 과제가 아니라고 강조했다. 개발자 역시 “나는 아직 보안 전문가는 아니다”라는 인식에서 벗어나 보안을 개발 과정의 일부로 받아들여야 한다는 것이다. 이에 따라 앞으로 보안팀은 지침을 수립하는 역할을 넘어 비보안 직군의 보안 역량을 높이고 조직 전반에 보안 문화를 확산하는 역할을 맡게 될 것으로 전망했다.
LG CNS 이진욱 팀장은 레드팀과 화이트해커의 역할 역시 AI 도구의 발전으로 축소되지는 않을 것으로 내다봤다. 다만 기업이 필요로 하는 인재상은 두 갈래로 나뉠 것으로 전망했다. 하나는 특정 서비스가 아닌 기업 전체를 대상으로 외부 공격자와 같은 방식으로 침투·확산을 수행하는 블랙박스 침투 테스트 전문 화이트해커이고, 다른 하나는 AI 도구가 찾아낸 취약점을 해석해 개발자에게 전달하고 개선을 지원하는 개발 관점의 보안 인력이다. 그는 실제로 LG CNS 레드팀 조직이 지속적으로 확대되고 있으며, LG그룹 내에서도 자체 레드팀을 운영하는 사례가 늘고 있다고 전했다.
AI 시대 보안에 대한 관심이 높아지면서 클라우드 기업과 보안 솔루션 업체들이 AI 기반 보안 서비스를 잇달아 출시할 가능성이 높다. 그렇다면 기업은 무엇을 기준으로 이런 서비스를 선택해야 할까. CIO 코리아의 질문에 신 아키텍트는 하나의 기준으로 단정하기는 어렵다면서도, 다양한 개발 환경 및 AI 서비스와의 연계성과 공급망 이슈로부터 얼마나 안전한 환경에서 운영·제공되는지를 판단 기준으로 삼으라고 조언했다. AI 모델은 개발 도구와 데이터 저장소, DLP(데이터 유출 방지) 등 기존 보안 솔루션과 유기적으로 연동될 수밖에 없는 만큼, 다양한 환경과의 통합성을 갖췄는지가 중요한 선택 기준이 된다고 말했다.
jihyun.lee@foundryco.com
Read More from This Article: “지침 내리는 조직에서 문화 전파하는 조직으로” AWS·LG CNS가 진단한 AI 시대 보안 조직의 미래
Source: News

