F5 "API 보안 없이는 '성공적인 AI' 없다"
"API(응용 프로그램 프로그래밍 인터페이스)는 인공지능(AI) 모델의 대표적인 공격 통로이며, 이를 보호하지 않으면 결국 AI 자체도 안전할 수 없다" 이진원 F5코리아 상무는 29일 개최한 기자간담회에서 이같이 밝혔다. F5는 API 전송 및 보안 관련 글로벌 기업이다. 좌담회는 서울 삼성동에 위치한 F5 코리아오피스에서 '에이전틱 AI 시대의 API 보안'을 주제로 열렸다. 형욱 F5코리아 지사장과 이 상무가 발표를 하는 식으로 진행됐다. 에이전틱 AI는 기존 생성형 AI 등 타 AI 모델과 다르게 사용자의 요청에 직접 '행동'하거나 '판단'하는 등 의사결정을 내리는 AI 모델이다. 예컨대 "내일 오후 2시 일본 출장 관련 항공편 예약해줘"라고 사용자가 요청하면 생성형 AI는 예약에 필요한 항공 정보 조회 플랫폼으로 연결되는 인터넷 주소를 알려주는 식이지만, 에이전틱 AI는 MCP(모델 컨텍스트 프로토콜)을 통해 직접 스카이스캐너 등 항공기 예약 플랫폼에 연동돼 직접 예약을 진행하는 식이다. 이에 에이전틱 AI는 다양한 애플리케이션(APP)과 연동되고, 연동 정보를 처리하는 데에는 '통로'는 API가 된다. 따라서 F5는 에이전틱 AI 시대에서 API의 보안이 가장 중요하다고 강조하고 있다. 한때 단순한 데이터 연결 역할에 그쳤던 API는 이제 에이전틱 AI 시스템이 환경을 인식하고 의사결정을 내리며, 빠르고 자율적으로 작업을 수행할 수 있게 하는 핵심 실행 기반이 됐다는 것이다. 이에 강력한 보호 장치가 없다면 잘못된 권한 설정이하 허술한 거버넌스로 인해 대규모의 보안 사고가 발생할 수 있다고 F5는 지적했다. MCP는 AI 모델이 외부 도구, 데이터 및 서비스와 표준화된 방식으로 통신하고 상호 작용할 수 있도록 하는 개방형 프로토콜을 말한다. AI 모델이 필요한 도구나 리소스에 액세스(접근)하고 해당 도구를 사용하는 방법을 이해해 AI가 직접 결과를 처리할 수 있는 구조화된 방법을 제공한다. 이 상무는 한국의 API 보안과 관련해 ▲전략적 자산으로서의 API 보안 ▲중앙집중형 교차 기능 체계 ▲실시간 아키텍처로 전환 ▲에이전트 대응 보안 통제 ▲보안 성숙도를 통한 경쟁 우위 확보 등 5가지 과제를 제시했다. 이 상무는 "2028년이면 전 세계 기업 애플리케이션의 80%가 전부 AI로 서비스될 만큼 AI에 대한 중요성은 향후 더 늘어날 것"이라며 "F5는 에이전틱 AI가 회사의 내부 중요 데이터를 활용하는 데 있어 프론트엔드, 백엔드 모두를 아우르는 통합 보안 솔루션을 제공하고 있다. 뿐만 아니라 API 보안, LLM(거대 언어 모델) 보안, 쉐도우 AI 보안, 에이전틱 AI 보안 등 다양한 AI 모델에 맞춘 통합 보안 플랫폼 'ADSP(응용 프로그램 전달 및 보안 플랫폼)'를 운용 중"이라고 설명했다. 그는 "에이전틱 AI 보안과 관련해서 구체적으로 살펴보면 백엔드에서는 API 가시성 확보, 중요 데이터 접근을 위한 API 접근 제어 등 보안 솔루션을 제공하고 에이전틱 AI와 MCP 서버 간 데이터 송·수신 과정에서 WAF를 통한 악성 트래픽 탐지 및 차단, OAuth 기반 인증 및 권한 부여 등의 서비스를 하고 있다"고 강조했다. 이 지사장도 인사말을 통해 "F5는 칼립소 AI 인수 등을 통해 ADSP 기능 등 더 많은 AI와 관련된 보안 기술을 확보하고 있다"면서 "AI 기술이 확산돼 나감에 있어 지속적으로 보안 문제를 해결할 수 있다"고 밝혔다.
