"금보원, AI 레드티밍때 전통 보안 영역 더 많이 봐"
"인공지능(AI) 보안은 전통적인 보안과 AI 영역의 커뮤니케이션입니다. 사견이지만, 오히려 전통적인 보안이 더 많은 부분을 차지하고 있습니다." 이주현 금융보안원 AI혁신부 수석은 17일 한국정보보호학회가 개최한 '제32회 정보통신망 정보보호 컨퍼런스(NetSec-KR 2026)'에서 'AI 에이전트 설계 방식에 따른 보안 위협 및 대책'을 주제로 발표하며 이같이 밝혔다. 이 수석은 "전통적인 보안 아키텍처가 있고, 가드레일 등 AI에 특화된 보안이 있다"면서 "금융보안원에서도 AI 레드티밍을 할 때 과거에는 적대적 부분을 위주로 봤다면 현재는 화이트해커들과 같이 전통적인 보안 영역을 많이 보고 있다"고 밝혔다. 그는 이날 오픈클로, 네모클로(NemoClaw) 등을 중심으로 취약점 사례를 소개하며, AI 에이전트의 보안 위협과 대응 방안 및 시사점에 대해 발표하는 시간을 가졌다. 특히 오픈클로에서 지난달 18일부터 21일까지 4일간 CVSS 7.1~8.8점 수준의 CVE 취약점이 9건이나 공개됐다. 이 수석은 AI 에이전트의 보안 위협으로 ▲원격 코드 실행(RCE) ▲프롬프트인젝션 ▲샌드박스 탈출 ▲자격증명 탈취 ▲데이터 유출 ▲공급망 공격(플러그인) ▲승인 우회 등을 제시했다. 각각 대응방안으로는 ▲커널 수준 샌드박스 ▲명시적으로 허용된 것만 통과하고, 그 외는 기본적으로 차단한다는 접근 방식인 'Deny-by-Default' 네트워크와 컨텍스트 격리의 결합 ▲에이전트 외부 정책 적용 ▲호스트에만 저장, 게이트웨이 프록시 주입 ▲시스템, 사용자, 도구 메시지 구조적 분리 ▲무결성 검증, 스키마 검증, 발견 기반 로딩 ▲실시간 TUI 모니터, 감사로그, 바인딩 무결성 등을 제시했다. 아울러 시사점으로는 인풋, 게이트웨이, 런타임, 툴, 응답 등 각 단계별 관심사 분리 원칙 적용하는 구조화된 워크플로우를 중요시했다. 또 보안은 아키텍처나 프롬프트가 아닌 만큼 소프트 가이드가 아닌 하드 컨트롤이 중요하다고 강조했다. 이 외에도 심층 방어, 금융권 AI 에이전트 도입 시 신뢰 수준별 격리 설계, 감사로그 등이 필수라고 덧붙였다.
