Skip to content
Tiatra, LLCTiatra, LLC
Tiatra, LLC
Information Technology Solutions for Washington, DC Government Agencies
  • Home
  • About Us
  • Services
    • IT Engineering and Support
    • Software Development
    • Information Assurance and Testing
    • Project and Program Management
  • Clients & Partners
  • Careers
  • News
  • Contact
 
  • Home
  • About Us
  • Services
    • IT Engineering and Support
    • Software Development
    • Information Assurance and Testing
    • Project and Program Management
  • Clients & Partners
  • Careers
  • News
  • Contact

“지침 내리는 조직에서 문화 전파하는 조직으로” AWS·LG CNS가 진단한 AI 시대 보안 조직의 미래

신은수 AWS 수석 보안전문 솔루션즈 아키텍트는 미토스 등으로 대표되는 고성능 AI가 몰고 온 위협의 변화를 세 가지로 정리했다. 첫째는 규모다. 과거 중대 취약점 발견은 대부분 전문가 집단의 영역이었으나, 이제는 AI를 활용해 손쉽게 취약점을 찾아낼 수 있어 기업이 처리해야 할 취약점의 수 자체가 급증한다. 둘째는 속도로, 취약점 발견과 익스플로잇 개발에 필요한 시간이 과거 대비 현저히 줄었다. 셋째는 접근성이다. 특정 해커 집단이나 전문 지식 보유자에게 국한됐던 고위험 취약점 발견이, 누구나 접근 가능한 AI 도구의 등장으로 문턱이 크게 낮아졌다.

신 아키텍트는 이러한 변화가 기업과 업계에 미치는 영향으로 취약점 분석·대응 과부하, 규정 준수 체계의 한계, 리스크 관리 체계의 무력화를 꼽았다. 하루 한두 개씩 나오던 취약점이 수십, 수백 개씩 쏟아지면 수작업 패치 프로세스로는 감당하기 어려워지고, 제한된 전문 인력의 번아웃으로 이어질 수 있다는 것이다. 그는 단순히 패치 속도를 높이는 것만으로는 충분하지 않으며, 취약점 대응 프로세스와 보안 거버넌스 자체를 개선해야 한다고 강조했다.

특히 오랜 검토 기간을 거쳐 발표되는 보안 프레임워크나 사람이 공격을 수행하던 환경을 전제로 설계된 리스크 관리 체계는, 이보다 훨씬 빠르게 진화하는 AI 기반 공격에 재검토가 필요하다고 지적했다. 신 아키텍트는 “속도와 규모 자체가 달라졌기 때문에 과거 잘 작동하던 위험관리 체계가 더 이상 유효하지 않을 수 있다”며 “보안 거버넌스와 운영 프로세스까지 함께 변화해야 한다”고 말했다.

이 같은 변화에 대응하기 위해 AWS는 AI 기반 보안 서비스를 확대하고 있다. 대표 서비스인 AWS 시큐리티 에이전트는 위협 모델링, 설계 리뷰, 코드 리뷰, 침투 테스트를 자동으로 수행하도록 지원한다. 위협 모델링은 시스템 설계 문서나 API 문서, 코드 등을 분석해 잠재적 위협을 식별하고, 설계 리뷰는 기업이 요구하는 보안 기준을 시스템이 충족하는지 검토한다. 코드 리뷰는 깃허브나 S3 등에 저장된 소스 코드를 분석해 취약점을 찾아낸다.

이 가운데 현재 정식 제공되는 기능은 침투 테스트다. 생성형 AI 에이전트가 실제 화이트해커처럼 대상 시스템을 분석하고 공격을 수행해 취약점을 찾아내는 방식으로, 여러 모델과 에이전트가 동시에 동작하며 복잡한 취약점을 탐색한다. 사람이 직접 수행하던 침투 테스트를 자동화한 것으로, AWS 환경에 올라간 서비스뿐 아니라 인터넷·VPN·전용선 등으로 접근 가능한 시스템도 점검 대상이 될 수 있다.

AWS는 최근 공개한 컨티뉴엄(Continuum)을 통해 시큐리티 에이전트의 보안 점검 기능을 개발 수명주기 전반으로 확장하고 있다. 컨티뉴엄은 여러 AI 에이전트가 협력해 코드 취약점을 분석하고, 샌드박스 환경에서 실제 실행 여부를 검증해 오탐을 줄이는 보안 서비스다. AWS에 따르면, 이 서비스는 취약점의 기술적 심각도뿐 아니라 비즈니스 영향을 함께 고려해 우선순위를 제시하고, 교정 방안까지 제공한다. AWS는 향후 위협 모델링, 설계 리뷰, 코드 리뷰, 침투 테스트 등 시큐리티 에이전트의 주요 기능을 컨티뉴엄으로 통합할 계획이라고 설명했다.

실제 기업 현장에서도 AI 기반 보안 자동화 효과가 나타나고 있다. 기자간담회에 참석한 이진욱 LG CNS 레드팀 팀장은 클라우드와 AI 프로젝트가 늘면서 침투 테스트 수요가 빠르게 증가하고 있지만 전문 화이트해커 인력은 제한적이어서 새로운 대응 방안을 검토하게 됐다고 설명했다. 특히 대형 보안 사고 이후 고객들의 침투 테스트 요구가 늘어난 데다, AI 프로젝트 확산으로 점검 대상도 크게 증가했다고 밝혔다.

LG CNS는 기존 보안 프로세스에 AWS 시큐리티 에이전트를 더하는 방식으로 침투 테스트를 수행하고 있다. AI가 자동으로 취약점을 탐지하면 화이트해커는 결과를 검증하거나 복잡한 비즈니스 로직만 추가 분석한다. 이 팀장은 “사람이 수행하면 4~5일 걸리던 침투 테스트를 약 5시간 만에 완료할 수 있었다”며 “반복 점검에서는 최대 80% 수준의 비용 절감 효과도 기대하고 있다”고 말했다. 최대 90% 이상의 탐지 정확도도 확인했다고 덧붙였다.

“보안팀의 역할은 바뀌되 필요성은 유지”

신 아키텍트는 고성능 AI 위협 환경에서 기업이 취해야 할 대응 방향으로 시프트 레프트(Shift Left)를 가장 중요한 원칙으로 제시했다. 프로덕션 단계에서 취약점을 수정하기보다 개발·빌드 단계에서 발견해 바로잡는 것이 훨씬 효율적이며, 사후 패치보다 애초에 패치가 필요한 상황 자체를 줄이는 것이 중요하다는 설명이다. 이 과정에서 AI 기반 보안 도구는 보안팀보다 개발팀이 직접 활용할 때 더 큰 가치를 발휘하며, 결국 보안을 단순한 도구가 아니라 조직 문화로 내재화해야 한다고 강조했다.

그렇다면 이런 변화 속에서 보안 조직의 미래는 어떻게 진화해야 할까. CIO 코리아가 AI 시대 보안팀의 역할과 규모가 어떻게 달라질 것으로 보는지 묻자, 신 아키텍트는 “보안팀은 사라지지 않을 것”이라고 답했다. 다만 보안팀이 지침을 만들고 다른 조직이 이를 따르는 기존 문화는 바뀌어야 한다고 강조했다. 최근 AI 특화 보안 도구들이 보안팀이 아닌 개발팀 등 다른 조직이 직접 활용하도록 설계되는 사례가 느는데, 과거 방화벽처럼 보안팀이 운영을 전담하는 방식으로 접근하면 효과를 충분히 끌어내기 어렵다는 것이다. 시프트 레프트를 실현하려면 개발자가 코드를 작성하는 과정에서 직접 취약점을 찾아 수정해야 하므로, 도구를 쓰는 주체뿐 아니라 운영의 중심도 개발 조직이 돼야 한다는 설명이다.

특히 그는 이 변화가 보안팀만의 과제가 아니라고 강조했다. 개발자 역시 “나는 아직 보안 전문가는 아니다”라는 인식에서 벗어나 보안을 개발 과정의 일부로 받아들여야 한다는 것이다. 이에 따라 앞으로 보안팀은 지침을 수립하는 역할을 넘어 비보안 직군의 보안 역량을 높이고 조직 전반에 보안 문화를 확산하는 역할을 맡게 될 것으로 전망했다.

LG CNS 이진욱 팀장은 레드팀과 화이트해커의 역할 역시 AI 도구의 발전으로 축소되지는 않을 것으로 내다봤다. 다만 기업이 필요로 하는 인재상은 두 갈래로 나뉠 것으로 전망했다. 하나는 특정 서비스가 아닌 기업 전체를 대상으로 외부 공격자와 같은 방식으로 침투·확산을 수행하는 블랙박스 침투 테스트 전문 화이트해커이고, 다른 하나는 AI 도구가 찾아낸 취약점을 해석해 개발자에게 전달하고 개선을 지원하는 개발 관점의 보안 인력이다. 그는 실제로 LG CNS 레드팀 조직이 지속적으로 확대되고 있으며, LG그룹 내에서도 자체 레드팀을 운영하는 사례가 늘고 있다고 전했다.

AI 시대 보안에 대한 관심이 높아지면서 클라우드 기업과 보안 솔루션 업체들이 AI 기반 보안 서비스를 잇달아 출시할 가능성이 높다. 그렇다면 기업은 무엇을 기준으로 이런 서비스를 선택해야 할까. CIO 코리아의 질문에 신 아키텍트는 하나의 기준으로 단정하기는 어렵다면서도, 다양한 개발 환경 및 AI 서비스와의 연계성과 공급망 이슈로부터 얼마나 안전한 환경에서 운영·제공되는지를 판단 기준으로 삼으라고 조언했다. AI 모델은 개발 도구와 데이터 저장소, DLP(데이터 유출 방지) 등 기존 보안 솔루션과 유기적으로 연동될 수밖에 없는 만큼, 다양한 환경과의 통합성을 갖췄는지가 중요한 선택 기준이 된다고 말했다.
jihyun.lee@foundryco.com


Read More from This Article: “지침 내리는 조직에서 문화 전파하는 조직으로” AWS·LG CNS가 진단한 AI 시대 보안 조직의 미래
Source: News

Category: NewsJuly 1, 2026
Tags: art

Post navigation

NextNext post:칼럼 | 모델은 빌리고 그라운딩은 소유한다···AI 경쟁력의 새로운 공식

Related posts

칼럼 | 모델은 빌리고 그라운딩은 소유한다···AI 경쟁력의 새로운 공식
July 1, 2026
AI가 없앤 주니어, 누가 미래의 시니어를 키우나
July 1, 2026
US reverses export restrictions on Anthropic’s Fable 5, Mythos 5 AI models
July 1, 2026
월드컵을 움직이는 AI…레노버·구글·오픈AI가 펼치는 기술 경쟁
July 1, 2026
Shadow agents: How IT leaders must govern ‘headless’ AI before it breaks the enterprise
July 1, 2026
7 ways to ensure effective digital leadership in the age of agentic AI
July 1, 2026
Recent Posts
  • “지침 내리는 조직에서 문화 전파하는 조직으로” AWS·LG CNS가 진단한 AI 시대 보안 조직의 미래
  • 칼럼 | 모델은 빌리고 그라운딩은 소유한다···AI 경쟁력의 새로운 공식
  • AI가 없앤 주니어, 누가 미래의 시니어를 키우나
  • US reverses export restrictions on Anthropic’s Fable 5, Mythos 5 AI models
  • 월드컵을 움직이는 AI…레노버·구글·오픈AI가 펼치는 기술 경쟁
Recent Comments
    Archives
    • July 2026
    • June 2026
    • May 2026
    • April 2026
    • March 2026
    • February 2026
    • January 2026
    • December 2025
    • November 2025
    • October 2025
    • September 2025
    • August 2025
    • July 2025
    • June 2025
    • May 2025
    • April 2025
    • March 2025
    • February 2025
    • January 2025
    • December 2024
    • November 2024
    • October 2024
    • September 2024
    • August 2024
    • July 2024
    • June 2024
    • May 2024
    • April 2024
    • March 2024
    • February 2024
    • January 2024
    • December 2023
    • November 2023
    • October 2023
    • September 2023
    • August 2023
    • July 2023
    • June 2023
    • May 2023
    • April 2023
    • March 2023
    • February 2023
    • January 2023
    • December 2022
    • November 2022
    • October 2022
    • September 2022
    • August 2022
    • July 2022
    • June 2022
    • May 2022
    • April 2022
    • March 2022
    • February 2022
    • January 2022
    • December 2021
    • November 2021
    • October 2021
    • September 2021
    • August 2021
    • July 2021
    • June 2021
    • May 2021
    • April 2021
    • March 2021
    • February 2021
    • January 2021
    • December 2020
    • November 2020
    • October 2020
    • September 2020
    • August 2020
    • July 2020
    • June 2020
    • May 2020
    • April 2020
    • January 2020
    • December 2019
    • November 2019
    • October 2019
    • September 2019
    • August 2019
    • July 2019
    • June 2019
    • May 2019
    • April 2019
    • March 2019
    • February 2019
    • January 2019
    • December 2018
    • November 2018
    • October 2018
    • September 2018
    • August 2018
    • July 2018
    • June 2018
    • May 2018
    • April 2018
    • March 2018
    • February 2018
    • January 2018
    • December 2017
    • November 2017
    • October 2017
    • September 2017
    • August 2017
    • July 2017
    • June 2017
    • May 2017
    • April 2017
    • March 2017
    • February 2017
    • January 2017
    Categories
    • News
    Meta
    • Log in
    • Entries feed
    • Comments feed
    • WordPress.org
    Tiatra LLC.

    Tiatra, LLC, based in the Washington, DC metropolitan area, proudly serves federal government agencies, organizations that work with the government and other commercial businesses and organizations. Tiatra specializes in a broad range of information technology (IT) development and management services incorporating solid engineering, attention to client needs, and meeting or exceeding any security parameters required. Our small yet innovative company is structured with a full complement of the necessary technical experts, working with hands-on management, to provide a high level of service and competitive pricing for your systems and engineering requirements.

    Find us on:

    FacebookTwitterLinkedin

    Submitclear

    Tiatra, LLC
    Copyright 2016. All rights reserved.