17 읽음
메가존클라우드 “안전하게 관리되는 AI가 가장 빠른 혁신 이끌어” [보안혁신 2026]
IT조선
0
글로벌 시장조사업체 가트너는 2026년 전 세계 AI 지출 규모가 약 2조5000억달러(약 3688조 2500억원)에 이를 것으로 전망했다. 국내에서도 AI 도입이 빠르게 확산되며 채택 성장률이 80%를 웃도는 등 폭발적인 증가세를 보이고 있다. 반면 AI 관련 사이버 공격은 2022년부터 2025년까지 300% 이상 증가했고, 데이터 침해 발생 시 기업 피해액도 490만달러(약 72억2600만원) 수준에 달하는 것으로 나타났다. AI 성장 이면에 보안 위협 역시 급증하고 있다는 분석이다.
김진호 리더는 “AI의 폭발적인 성장 뒤에는 항상 보안 리스크가 따라온다”며 “이미 AI 관련 공격과 데이터 침해 사례는 매일같이 발생하고 있다”고 말했다.
이 같은 환경에서 기업들이 직면한 AI 보안 리스크는 네 가지로 요약된다. 먼저 AI 도입 과정에서 애플리케이션과 서비스가 급증하면서 공격 표면이 확대되고, 조직 내부에서도 어떤 AI 도구와 모델이 사용되는지 파악하지 못하는 ‘섀도우 AI’ 문제가 발생한다. 여기에 프롬프트 입력 과정에서 민감 정보가 외부 모델로 유출될 가능성도 상시 존재한다. 또한 프롬프트 인젝션, 탈옥, 환각(할루시네이션) 등 AI 특화 취약점이 등장했고, 글로벌 및 국내 규제 확산에도 불구하고 기업 차원의 대응 체계는 아직 미흡한 상황이다.
김 리더는 “많은 기업들이 여전히 과거 방식의 보안 통제로 AI를 관리하려고 한다”며 “이제는 새로운 패러다임으로 전환해야 할 시점”이라고 말했다.
이에 김진호 리더는 네 가지 통합 보안 구조로 ▲아키텍처 통제 ▲AI 가드레일 ▲AI 레드팀(모의 해킹 조직) ▲거버넌스 및 규제 대응 등을 제안했다.
우선 인프라 측면에서는 AI 워크로드가 온프레미스든 클라우드든 관계없이 보안을 전제로 아키텍처를 설계해야 한다. 특히 조직 내에서 사용 중인 AI 도구와 모델을 식별하는 ‘디스커버리’가 출발점으로 꼽힌다.
김진호 리더는 “AI 보안은 사후 대응이 아니라 설계 단계부터 내재화해야 한다”며 “또한 기업에서 어떤 AI를 쓰고 있는지 모르는 경우가 생각보다 많기 때문에, AI 보안의 시작은 자산 식별”이라고 말했다.
데이터 영역에서는 ‘AI 가드레일’ 구축이 핵심으로 제시됐다. 입력·출력 단계에서 민감 정보 유출을 차단하고, 콘텐츠 필터링과 마스킹을 통해 잘못된 응답이나 편향, 환각을 통제해야 한다. 특히 프롬프트 인젝션과 같은 외부 공격 대응은 기존 보안 체계만으로는 한계가 있어 별도의 가드레일 적용이 필요하다는 설명이다.
모델 측면에서는 ‘AI 레드팀’ 운영 필요성도 제기됐다. 기존 시스템처럼 정기 점검을 넘어 AI 특화 공격 시나리오 기반의 검증 체계를 개발·운영 전반에 적용해야 한다는 설명이다. 그는 “AI도 기존 애플리케이션처럼 취약점 진단이 필요하다”며 “개발 파이프라인 안에 AI 레드팀을 포함시켜야 한다”고 말했다.
마지막으로 거버넌스 영역에서는 전사 차원의 정책과 책임 체계를 구축해야 한다. 임직원의 AI 사용 기준을 명확히 하고, 데이터 프라이버시 및 국내외 규제에 대응할 수 있는 컴플라이언스 체계를 마련해야 한다. 일부 금융권에서는 AI 관련 책임자를 지정하는 등 조직 차원의 대응도 시작된 상태다.
특히 최근에는 사람 계정이 아닌 API 키, 서비스 계정 등 ‘논휴먼 아이덴티티(NHI)’ 관리 중요성이 부각되고 있다. AI 서비스 확산으로 시스템 계정 수가 급증하면서 키 유출이나 관리 부실로 인한 보안 사고 위험도 함께 커지고 있기 때문이다.
이에 김 리더는 “AI 보안을 단일 솔루션이 아닌 다층 방어 체계로 접근해야 한다”고 말했다. 인증, 네트워크, 데이터 보호, 가드레일, 모니터링 등 각 영역별 통제를 통합적으로 적용할 경우 공격 성공률을 크게 낮출 수 있다는 분석이다.
김진호 리더는 “AI가 혁신적으로 늘어나고 있는 만큼 실행 가능한 보안 체계를 만드는 것이 중요하다”며 “설계부터 운영까지 이어지는 통합 보안 프레임워크를 구축할 때 기업의 AI 혁신 비즈니스도 가속화할 수 있다”고 말했다.
김경아 기자
kimka@chosunbiz.com