
[PEDIEN] 과학기술정보통신부와 한국인터넷진흥원이 AI 서비스의 보안 취약점을 공격자 시각에서 진단하고 효과적으로 대응하기 위한 두 가지 핵심 가이드북을 선보였다. 이번에 발간된 ‘AI 보안 위협 대응 매뉴얼’과 ‘AI 보안 레드티밍 가이드’는 빠르게 확산되는 AI 기술의 그림자인 새로운 보안 위협에 대한 현장의 대응 역량을 한층 강화할 것으로 기대된다.
AI 기술이 산업 전반에 혁신을 가져오고 있지만, 프롬프트 인젝션, 권한 오남용, 데이터 유출 등 예측하기 어려운 새로운 유형의 보안 위협 또한 동시다발적으로 발생하고 있다. 특히 기존 정보보호 체계만으로는 AI 특유의 보안 허점을 파악하고 막아내기 어렵다는 지적이 꾸준히 제기되어 왔다. 이러한 배경 속에서 실제 공격자의 관점을 빌려 AI 시스템의 취약점을 찾아내고 방어 전략을 수립하는 ‘AI 레드팀’의 역할이 더욱 중요해지고 있다.
이번에 공개된 두 가이드북은 AI 환경에서 발생 가능한 다양한 보안 위협과 실제 사례를 체계적으로 분류하고, 현장에서 즉시 활용 가능한 구체적인 점검 및 대응 방안을 제시하는 데 초점을 맞췄다. ‘AI 보안 위협 대응 매뉴얼’은 AI 보안 위협의 분류 및 진단 방법, 산업별 맞춤 시나리오, 그리고 위협 유형별 대응책을 상세히 담았다. 이 매뉴얼은 최고 경영진에게는 AI 보안 위협의 전반적인 개요와 사례를, 실무 담당자에게는 구체적인 진단 및 대응 기준을 제공한다.
‘AI 보안 레드티밍 가이드’는 AI 보안 레드팀 운영을 계획하는 실무진을 위한 전문 지침서다. 이 가이드는 레드팀 기획 및 구성부터 실행, 결과 보고에 이르는 전 과정을 포괄적으로 안내하며, 국제 표준안을 기반으로 구성되어 국제적으로 통용되는 엄격한 기준을 충족한다. 또한, 실제 현장에서 유용하게 활용될 수 있도록 레드티밍 체크리스트, 점검 도구, 관련 인력의 직무 기술서 등을 포함하여 실용성을 극대화했다. 특히 이 가이드북은 민간 기업 실무자 및 학계 전문가들의 폭넓은 의견 수렴과 자문을 거쳐 현장 적용성과 전문성을 모두 높였다.
최근 AI 에이전트의 확산으로 보안 위협의 양상이 더욱 복잡해지고, 선제적인 보안 대응과 안전한 AI 서비스 운영에 대한 사회적 요구가 커지고 있다. 과기정통부와 한국인터넷진흥원은 이번에 발간된 가이드 2종이 AI 서비스를 개발·운영하는 기업과 AI 레드팀 전문 기업들에게 실질적인 도움이 될 것으로 전망한다.
임정규 과기정통부 정보보호네트워크정책관은 “AI 기술의 발전과 함께 보안 위협도 끊임없이 진화하고 있다”며, “이번 가이드가 AI 서비스의 보안 수준을 한 단계 높이고 현장에서 실질적으로 활용될 수 있는 기준이 되기를 바란다”고 밝혔다. 그는 또한 “앞으로도 AI 보안 레드팀 사업을 지속적으로 확대하고 최신 기술 동향을 반영하여 검증 체계를 고도화함으로써 변화하는 AI 환경에 선제적으로 대응해 나갈 것”이라고 덧붙였다.
저작권자 © PEDIEN 무단전재 및 재배포 금지