검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'AI보안'통합검색 결과 입니다. (7건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

[기고] ITU-T SG17 회의에서 논의한 AI보안 국제표준

최근 중국 딥시크사의 챗봇 서비스 개시로 미국과 중국 간 거대 언어모델 (LLM) 인공지능 시스템 모델 개발 경쟁이 가열되고 있다. 인공지능(AI) 시스템 신뢰성 (trustwordiness)은 공격에 강력한 인공지능 보안, 프라이버시 침해 없는 인공지능 프라이버시, 편견 없고 악용 없이 동작하는 인공지능 안전에 대한 요구조건을 만족해야 확보될 수 있다. 통상 인공지능 보안은 인공지능 시스템 자체 보안을 강화하는 측면과, 인공지능을 접목해 기존 보안 시스템의 보안 능력을 강화하는 측면으로 구분한다. 인공지능시스템 자체 보안은 모델 추출, 적대적 공격 등 인공지능 시스템에 대한 다양한 사이버 공격을 보안 대책으로 막아 안전한 인공지능 시스템을 운영하는 데 있다. 인공지능을 이용하는 보안(security)은 인공지능 시스템이 백신 등 모든 사이버보안 제품이나 서비스에 적용돼 기존 보안 제품의 대응 능력을 향상하는 데 있다. 또 인공지능 프라이버시(privacy)는 특정 정보 주체의 개인정보가 인공지능시스템의 학습데이터에 포함돼 있는지를 알 수 없게 만드는 등 프라이버시 보호 측면을 다룬다. 인공지능 안전성(safety)은 인공시스템이 사이버 공격에 이용되는 악성코드를 만드는 등 오남용되지 않고, 편견 없이, 책임감 있게 동작하도록 하는 등의 조치를 통해 확보될 수 있다. ITU-T (국제전기통신연합/전기통신표준화부문) 연구회기 (2025-2028)의 첫 번째 ITU-T SG17 (정보보호연구반) 회의가 스위스 제네바 ITU 본부에서 지난 17일 클로싱 총회를 열고 대단원의 막을 내렸다. 이번 회의의 가장 주목받은 논점은 ITU-T SG17의 인공지능 보안 국제표준화 추진 전략 마련 여부였다. 'ITU-T SG17'이 인공지능 보안에 대한 국제표준화를 어떻게 전략적으로 추진할지에 대한 것에 논의가 집중됐다. 인공지능 보안만을 다루는 ITU-T SG17 내 연구과제(Question)를 신설할 지, 국제표준화 기구 간에 인공지능 보안 표준화 활동을 조정할 인공지능 보안 조인트 조정활동 (JCA)을 신설할지 등 다양한 추진 방안을 논의했다. 생성형 인공지능시스템의 경우, 미국과 중국 간 경쟁이 첨예하게 대립하고 있음은 누구나 잘 알고 있는 사실이다. 그러나, 이번 회의에서는 미국을 중심으로 하는 서방 진영과 중국을 중심으로 하는 개도국 진영 간의 인공지능 시스템 보안에 대한 국제표준화를 시급히 추진해야 한다는 데 이견이 없었던 듯하다. 예를 들어 캐나다가 인공지능 보안 국제표준화를 추진하기 위한 전략을 발표했고, 미국도 작년 10월 열린 세계정보통신표준화총회(WTSA-24)에서 수립된 '인공지능 기술에 대한 표준화 활동'에 대한 WTSA-24 신규 결의(WTSA-24 Resolution 101)에 대한 후속 조치로 ITU-T SG17이 인공지능 보안 국제표준화를 적극적으로 추진할 필요가 있다고 강조했다. 또 우리나라도 인공지능 보안 국제표준화의 필요성을 인지하고 이러한 제안을 지지했다. 중국도 인공지능 보안 분야에서 많은 신규 표준화아이템을 제안해 반영했다. 이러한 표면상 의견 합치 배경은 인공지능시스템에 대한 사이버 공격을 막기 위한 다양한 보안 대책과 방안에 대한 국제표준 개발이 시급히 필요하다는 점을 양 진영이 공감하고 있고, ITU-T SG17이 인공지능 보안에 대한 국제표준화 활동을 주도해야 하며, 이를 위한 인공지능 보안의 국제표준화 추진 전략을 마련해야 한다는 데 공감하고 있다는 데 있다고 본다. 인공지능 보안 국제표준화 추진에서 표면적 오월동주의 시대가 시작된 듯하다. 그러나 이러한 상황이 지속되리라고는 단정할 수 없는 측면도 있다. 이번 ITU-T SG17 회의에서 합의한 중요 사항은 ITU-T SG17이 인공지능 보안 국제표준화에서 국제적 리더십을 확대하기 위한 다양한 전략 마련이 필요하고, ITU-T SG17 차원에서 인공지능 보안 국제표준화에 대한 청사진을 마련한 점이다. 이러한 청사진에 기반해 ITU-T SG17에서 향후 인공지능 보안 국제표준화를 적극적으로 추진하기로 했고, 다른 표준화 기구 사이의 표준화 조정 활동이 필요하며, 여러 표준화 기구 간 중복적 국제표준 개발을 막아야 한다는 데 의견을 모았다. 또한 이번 ITU-T SG17 회의에서 중국 등의 제안으로 10건이 넘는 인공지능 보안 분야 신규 표준 아이템이 수립된 점은 주목할 만한 점이다. 이번 회의는 우리에게 시사한 바도 크다. 향후 우리나라도 국가 차원에서 국내 인공지능 보안 및 개인정보보호 전문가들이 모여 인공지능 보안 국제표준화에 대한 종합 대책과 전략 개발이 필요하다. 이를 근거로 ITU-T에서 국제 표준화 활동을 강화하고 리더십을 확보할 필요가 있다. 또 우리나라의 많은 사이버보안 기업과 산업계가 인공지능 보안 국제표준화 과정에 적극 참여, 우리나라 산업체가 생산하는 인공지능 관련 시스템이나 서비스의 보안과 상호운용성을 확보하고, 궁극적으로 우리 기업의 인공지능 보안 제품이나 서비스의 경쟁력을 강화해야 한다. 더불어 인공지능 보안 국제표준화 인력의 활동 지원과 인력 양성을 위한 지원도 필요하다. 보안을 고려하지 않은 인공지능 시스템 구축과 서비스를 운영하면 사이버 공격에 무력화되는 인공지능 서비스와 제품이 되고 말 것이다. 다양한 사이버 공격에 견딜 수 있는 인공지능 시스템을 개발하고 운영해야 인공지능 시스템의 신뢰성을 확보할 수 있다. 이번 ITU-T SG17 회의에서는 '인공지능 보안을 포함한 정보통신시스템의 신뢰성(Trust)'에 대한 신규 기술보고서 아이템을 우리나라 주도로 수립한 점은 의미 있는 성과다. 인공지능 보안과 프라이버시, 그리고 안전성을 확보해야만 인공지능 시스템의 신뢰성을 확보할 수 있다. 인공지능 시스템의 신뢰성을 확보하기 위한 국제표준 개발과 활동에 우리나라가 보다 적극 나서야 한다.

2025.04.27 16:04염흥열

"AI·SW 보안취약점 신고 하세요"···총 상금 3억원

'소프트웨어(SW)와 인공지능(AI) 보안 취약점 신고하세요' 과학기술정보통신부(과기정통부)와 한국인터넷진흥원(원장 이상중, KISA)은 전문가들의 적극적인 보안 취약점 발굴을 장려, 침해사고를 사전에 예방하기 위한 '2025년도 소프트웨어(SW) 보안취약점 신고포상제'를 시행한다고 27일 밝혔다. 이달 28일(금)부터 오는 6월 30일(월)까지 4개월 간 진행한다. 포상금은 KISA 위원회에서 심사를 거쳐 총 3억원이고 이중 AI보안에 5천만 원을 할당했다. 일정 및 포상금 규모는 신고접수 현황에 따라 조정될 수 있다. 정보통신(IT) 기술의 급속한 확산에 따라 SW 활용이 확대하면서 SW에 포함된 보안취약점도 매년 크게 증가하고 있다. 실제, 미 NIST의 세계 보안 취약점 통계에 따르면 2만5083건('22년) → 2만9065건('23년) → 4만290건('24년)으로 늘었다. 이에 과기정통부와 KISA는 국산 SW의 품질개선을 지원하고, SW 보안 취약점을 악용한 침해사고 예방을 위해 보안취약점 분석 등에 높은 지식과 경험을 갖춘 화이트해커(White Hacker)들의 참여를 촉진하기 위해 보안취약점 신고포상제를 2012년부터 시행하고 있다. 특히, 올해는 딥시크 등 생성형 AI 서비스에 대한 보안 이슈가 크게 대두되면서 국민들이 AI 서비스 사용에 대해 불안이 커지고 있는 상황을 고려, SW 보안취약점 신고포상제 추진 과정에서 AI 서비스에 대한 보안취약점 신고를 강화했다. 이번 AI 서비스 보안취약점 신고포상제는 국·내외 오픈소스 AI SW의 원본 모델을 대상으로 ▲ AI가 운영되는 환경(앱, 웹 등)의 보안취약점 ▲ AI 입출력 등과 관계된 코드에 존재하는 보안취약점 ▲ 그 외 보안기법 우회 등 침해사고 악용 가능성이 있는 보안취약점을 찾아 조치하는 것을 목적으로 하고 있다. 국내·외 거주 한국인이면 누구나 참여할 수 있다. 보안 취약점 정보포털 누리집 'kvnd.krcert.or.kr'을 통해 접수를 진행한다. 신고된 취약점은 SW 제조사에 전달해 보안 조치가 이뤄지도록 요청하고, 필요 시 '보호나라' 누리집(www.boho.or.kr) 보안공지를 통해 대국민 주의 안내를 진행할 예정이다. 과기정통부 최광기 사이버침해대응과장은 “생성형 AI의 개발 및 확산은 선택이 아니라 거부할 수 없는 전 세계적인 큰 흐름”이라고 강조하면서 “AI 서비스의 보안 수준을 한 단계 높이고, 국민들이 안심하고 AI 서비스를 이용할 수 있도록 보안취약점 발굴 및 조치를 강화해 나가겠다.”고 밝혔다.

2025.02.27 12:00방은주

AI 앞세운 체크포인트, 퀀텀 방화벽 'R82' 기능 추가로 보안 혁신 '앞장'

체크포인트소프트웨어테크놀로지스(체크포인트)가 최신 위협에 빠르게 대응할 수 있는 인공지능(AI) 기반 네트워크 보안 체계를 새롭게 공개했다. 체크포인트는 '체크포인트 퀀텀 방화벽 소프트웨어 R82(Check Point Quantum Firewall Software R82)'와 인피니티 플랫폼 추가 기능을 2일 발표했다. R82는 피싱, 멀웨어, 도메인네임시스템(DNS) 익스플로잇 등 제로데이 위협을 방지하기 위해 새로운 AI 기반 엔진을 제공한다. 데이터 센터 운영을 위한 데브옵스(DevOps) 민첩성, 단순성, 확장성을 촉진하는 신규 구조(아키텍처) 변경 또한 포함됐다. 퀀텀 소프트웨어 R82는 기업 고객을 위한 50개 이상의 새로운 기능을 제공한다. 우선 AI 기반 위협 방지 기능은 신규 AI 엔진을 도입해 제로데이 피싱 및 멀웨어 캠페인으로부터 월 50만 건 이상 추가 공격을 차단한다. 체크포인트에 따르면 이 기능으로 제로데이 위협의 99.8%가 차단되는 것으로 파악됐다. 또 데이터센터 운영 기능은 보안 정책을 자동 통합해 앱 개발을 가속화한다. 조직은 방화벽 가상화를 간소화해 멀티 테넌시와 애플리케이션 개발을 위한 가상 시스템을 3배 빠르게 구현해 데브옵스 이점을 제공한다. 운영 간소화 기능은 다양한 규모의 네트워크에 확장성을 제공해 트래픽 급증에 자동으로 적응할 수 있도록 돕는다. 조직은 내장된 로드 공유와 클러스터링 기술로 복원력을 달성하고 방화벽 관리를 위한 운영 이점을 누릴 수 있다. 신규 기능은 ▲체크포인트 인피니티 AI 코파일럿 ▲젠 AI 프로젝트 ▲인피티니 익스터널 리스크 매니지먼트 등 AI 기반 위협 방지 제품군을 기반으로 구현됐다. 이 중 체크포인트 인피니티 익스터널 리스크 매니지먼트는 전문가 관리 서비스로, 모니터링 및 실시간 위협 방지를 제공한다. 나탈리 크레머(Nataly Kremer) 최고제품책임자(CPO)는 "네트워크 보안은 점점 더 전략적인 모습을 나타내고 있다"며 "자사 AI 기반 위협 방지 제품군은 혁신을 가져올 뿐만 아니라 운영을 간소화하고 복원력을 높이는 데 끊임없이 집중하고 있다"고 말했다.

2024.12.02 16:00장유미

이로운앤컴퍼니-윈즈시스템, 금융권 생성형 AI 보안 파트너십 체결

생성형 AI 보안 전문기업 이로운앤컴퍼니(대표 윤두식)가 IT 전문기업 윈즈시스템(대표 이보헌)과 전략적 파트너십을 체결했다. 두 회사는 빠르게 변화하는 금융 및 공공기관의 디지털 환경에서 생성형 AI의 안전한 활용을 지원한다. 이로운앤컴퍼니는 2024년 1월 창업 이후, 기업들이 안전하고 효율적으로 인공지능(AI) 기술을 업무에 도입할 수 있는 보안 솔루션 '세이프X'를 제공해왔다. 세이프X는 AI 사용 과정에서 발생할 수 있는 개인정보나 기밀 정보 유출 위험을 사전에 차단하는 스캐닝 기술을 탑재했다. 이를 통해 기업들이 AI를 활용하는 동안에도 보안성을 유지할 수 있도록 돕는다. 최근 금융위원회가 10년 만에 금융권 망분리 개선안을 발표하면서, 금융회사들이 생성형 AI를 업무에 적용할 수 있는 길이 열렸다. 금융업계에 AI 기술이 도입되면 비용 절감, 금융 상품 및 서비스 개발 가속화, 내부 통제 고도화 등의 긍정적인 변화가 기대된다. 이와 동시에 개인정보 보호와 정보 유출 위험에 대한 우려도 제기되고 있어, 안전한 생성형 AI 활용이 중요한 과제로 떠올랐다. 이로운앤컴퍼니와 윈즈시스템은 세이프X로 금융의 안전한 AI 활용을 지원한다. 세이프X는 금융보안원의 보안대책 기준을 충족한다. 두 회사는 금융기관들이 안심하고 AI를 업무에 도입할 수 있도록 도울 계획이다. 윤두식 이로운앤컴퍼니 대표는 "생성형 AI의 가능성은 무궁무진하지만, 안전성 확보가 무엇보다 중요하다"며, "23년간 IT 솔루션과 서비스를 안정적으로 제공하고 있는 윈즈시스템과 협력해 금융권 및 공공기관이 AI 기술을 효과적으로 활용할 수 있도록 보안 솔루션을 개발하고 고객을 지원하겠다"고 밝혔다. 이번 파트너십을 통해 두 회사는 앞으로도 금융에서의 AI 활용 확산을 지원하며, 업계 전반에 걸친 AI 보안 기술의 표준을 제시해 나갈 예정이다.

2024.10.24 10:22김인순

두산디지털이노베이션, AI 사이보보안 포럼 개최

두산디지털이노베이션(DDI)이 사이버 공격에 대응하기 위한 인공지능(AI) 보안 전략을 공유한다. DDI는 28일 서울 반얀트리 클럽 앤 스파 서울에서 'AI를 위한 보안, 보안을 위한 AI' 주제로 사이버보안 포럼을 개최한다. 이번 행사에서 AI를 활용한 사이버 공격에 대한 기업 차원의 대응 방안을 모색하고, 인사이트를 공유할 방침이다. 이번 포럼에서 사이버보안 및 컨설팅 전문가가 연사로 나선다. AI 기반의 사이버보안 시장 현황 및 전망, 이를 방어하기 위한 전략 등을 집중적으로 다룬다. DDI 박석원 사장 환영사를 시작으로 경영전략서 '디커플링' 저자이자 UC 샌디에고 교수인 탈레스 S. 테이셰이라가 오프닝 스피치를 맡는다. 이어 ▲사이버보안 전략의 현재와 미래(DDI 임인영 전무) ▲정보보호책임자(CISO)가 고려해야 할 우선순위에 대한 관점(맥킨지앤컴퍼니 리차드 리 시니어파트너) ▲AI 기술을 활용한 사이버 공격 대응 현황 사례 소개(두산밥캣 한상우 팀장) 강연 등이 진행된다. DDI의 사이버보안 파트너사 임직원도 연사로 나선다. DDI의 IT 보안 파트너사 사이버리즌의 에릭 네이글 JPAC 지역 전체총괄사장은 기업의 주요 인프라에 대한 사이버 공격 사례를 소개하며, 사이버보안의 중요성을 강조한다. DDI의 OT 보안 파트너사 클래로티의 제이슨 피어스 APJ 최고기술책임자(CTO)는 사이버 복원력 강화를 위한 추진방안과 비즈니스에 미치는 성과를 논의할 계획이다. 이어 한국CISO협의회 이기주 회장의 격려사와 DDI 로버트 오 부사장의 맺음말로 마무리된다. 이달 초 미국 샌프란시스코에서 개최된 'RSA 컨퍼런스 2024'에 참석해 얻은 글로벌 사이버보안 트렌드와 지난 주 미국 보스턴에서 진행된 'IBM 씽크 2024'에서 DDI 로버트 오 부사장과 IBM 컨설팅 수석 부회장 모하마드 알리 패널토의 내용도 포함된다. DDI 로버트 오 부사장은 "최근 AI를 활용한 사이버 공격 위협이 점차 고도화되고 있어 기업들은 이에 대한 최신 정보와 인사이트를 지속적으로 업데이트할 필요가 있다"면서 "앞으로도 IT·OT 보안 분야에서 선도적인 역할을 수행하면서, 엔터프라이즈를 안전하게 보호할 수 있는 방안을 마련해 나갈 것"이라고 밝혔다.

2024.05.27 14:51김미정

자비스앤빌런즈, 'AI 보안 업체' S2W와 MOU 체결

'삼쩜삼'을 운영하는 자비스앤빌런즈가 인공지능(AI) 보안업체인 'S2W'와 서비스 보안 강화 및 AI 시스템 구현을 위한 전략적 업무협약(MOU)'을 체결했다고 22일 밝혔다. 개인정보 보호와 사이버 보안을 강화하고, 생성형 AI를 활용한 신사업에도 적극 협력하기로 했다. S2W는 카이스트(KAIST) 네트워크 보안 전문 연구진을 주축으로 지난 2018년 설립돼 다크웹과 랜섬웨어, 피싱과 스미싱 등 온라인상의 사이버 위협을 탐지하고 분석·대응하는 기술을 보유하고 있다. 현재 인터폴(국제형사경찰기구)을 비롯한 국내외 주요 기관 및 금융·통신 업체 등과 협업 중이다. 자비스앤빌런즈 김범섭 CEO는 “고객들에게 안전한 삼쩜삼 플랫폼을 제공하는 동시에 AI 신사업 발굴에도 적극 협력하겠다”고 밝혔다.

2024.04.22 15:12손희연

2024년 주목할 사이버 보안 분야는?

'생성AI 보안'과 '사용자인증관리(IAM)'에 주목하라. 글로벌 시장조사기관 CB인사이트와 가트너가 공통적으로 지목한 올해 주목해야 할 사이버 보안 분야다. CB인사이트는 사이버 보안 분야 초기 투자 동향을 분석해 2024년 가장 주목받을 6개 분야를 꼽았다. ▲머신러닝 시큐리티 ▲데이터베이스 보안 ▲IAM ▲침해사고 시뮬레이션 ▲사이버 위협 관리 ▲보안 인식 트레이닝이다. CB인사이트는 생성AI 발전이 가속화되고 기업 내 도입이 늘어나면서 관련 사이버 보안 이슈가 증가하고 있는데 주목했다. 생성AI는 사이버 위협 빈도는 물론 정교함을 높이는 도구로 이용되고 있다. 생성AI의 발전은 새로운 사이버 보안 요구 사항을 불러왔다. 기업은 데이터는 물론이고 대규모언어모델(LLM), 직원이 생성AI를 사용하는 방식을 보호해야 한다. 가트너는 23일 '2024년 톱 시큐리티 트렌드'를 발표하고 생성AI 진화에 따른 대비를 주문했다. 가트너는 ▲생성AI ▲사이버 보안 성과지표 ▲인적 위험을 줄이는 문화 프로그램 ▲서드파티 사이버 보안 위협 관리 ▲위협 노출 관리 프로그램 ▲IAM 역할 확대 등 6가지 분야를 강조했다. 기업 최고보안책임자(CISO)에게 챗GPT와 재미나이 등 LLM은 관리해야 할 또 다른 과제로 떠올랐다. 초기 단계이지만 LLM 관련 보안 취약점이 증가하고 있다. 인공지능, 머신러닝을 채택하는 기업은 늘어나고 있지만 이에 대한 취약성을 인지하고 사이버 보안 대책을 세우는 곳은 드물다. 대부분의 소프트웨어 에코시스템과 마찬가지로 진입 장벽이 낮을수록 보안 장벽도 낮아진다. 사이버 보안 전문가들은 머신러닝 모델의 취약점과 특수성을 악용하는 공격 활동에 촉각을 곤두 세우고 있다. ML이 새로운 사이버 공격 표면이 됐기 때문이다. 두 기관이 동시에 주목한 또 다른 분야는 IAM이다. 기업 내 클라우드 서비스 사용이 증가하면서 각 애플리케이션마다 사용자 인증이 핵심 요소로 떠올랐다. IAM은 클라우드 환경 내 모든 리소스의 인증과 권한 부여를 관리하는 복잡한 구성 요소일 뿐만 아니라 사이버 공격의 1차 방어선 역할을 하는 가장 중요한 요소다. 버라이즌 조사에 따르면 사이버 공격의 약 75%가 자격 증명 손상과 권한 남용을 포함하는 인적 요소와 관련된다. 팔로알토네트웍스는 200개 기업 1만8천개 클라우드 계정에서 68만개 ID를 분석해 내놓은 클라우드 위협 보고서를 내놨다. 놀랍게도 99%의 클라우드 사용자, 역할, 서비스, 리소스가 권한을 과도하게 부여받은 채로 방치되고 있다. 사이버 공격자는 기업 내부 직원의 로그인 ID와 비밀번호를 탈취해 내부로 침투하고 있다. 기업 클라우드 환경에 정상 활동처럼 접속해 데이터와 정보를 빼돌린다. 기업은 이런 보안 취약점을 예방하고 방어하기 위해서 적절한 권한을 가진 사용자가 필요한 데이터와 리소스에 접속할 수 있게 하는 IAM 도입을 늘리고 있다. 특히, IAM은 '제로 트러스트 사이버 보안 프레임워크'를 완성하는 기반이다. 아무것도 믿지 말고 항상 검증하라는 제로 트러스트 원칙에 따라 IAM으로 사용자를 끊임 없이 인증해야 하기 때문이다. 미국 연방 정부는 2024년 안에 모든 기관에 제로 트러스트 모델을 채택하라고 권고하면서 관련 시장이 성장하고 있다. 가트너는 "보안 시장에서 IAM의 역할이 그 어느 때보다 증가하고 있다"면서 "CISO가 사용자 ID에 대한 관리를 강화하고 관련 위협 탐지하는데 집중하고 있다"고 설명했다.

2024.02.23 11:13김인순