더벨'머니투데이 thebell'에 출고된 기사입니다.
빅데이터 분석 인공지능(AI) 기업 에스투더블유(22,750원 ▲2,850 +14.32%)(S2W)가 전일 성남 판교 소재 본사에서 ‘AI 시대의 새로운 보안 전략: 실사례로 알아보는 대응책’을 주제로 고객사 대상 프라이빗 세미나를 진행했다고 16일 밝혔다.
이날 행사는 양종헌 S2W 오펜시브부문장의 발표를 중심으로 제조·금융·정보기술(IT)·유통 등 국내 다양한 산업군의 최고정보보호책임자(CISO) 및 주요 보안 담당자들이 참석한 가운데 진행됐다.
양 부문장은 △입력 조작(Input Manipulation) △무결성 침해(Integrity Compromise) △에이전트 연계(Agent Interaction) △합성 신원(Synthetic Identity) 등 대표적인 AI 특화 공격 방식과 실사례 분석을 통해 도출한 시사점 등을 소개했다.
이어 ‘라케라 간달프(Lakera Gandalf)’와 ‘프롬프트 에어라인(Prompt Airlines)’ 등 실제 시나리오에 기반한 CTF(Capture The Flag)와 워게임(War Game) 등을 예로 들어 주요 AI 공격 기법과 프롬프트 예시, 취약점 패턴 등을 설명했다. 이후 AI 및 LLM 특화 보안 사고가 비즈니스에 미칠 수 있는 영향도에 대한 분석 결과를 공유했다.
AI 시대에 준수해야 할 보안 원칙에 대한 설명도 이어졌다. 양 부문장은 △비사용(효용보다 위험이 큰 영역에선 AI 비적용) △데이터 최소화(컨텍스트 내 민감 정보 불포함) △최소 권한 및 격리(AI 에이전트의 역할과 도구 접근 권한 등 세분화)를 제시했다.
S2W는 보안 패러다임의 전환에 발맞춰 고도의 AI 기술과 숙련된 화이트해커의 심층 분석력을 결합한 모의해킹 서비스를 제공하고 있다. 먼저 자체 AI 도구를 활용해 공격표면 탐지 및 1차 취약점 검증에 소요되는 시간을 대폭 단축하고 실제 공격자들이 활용하는 상용 도구를 이용해 AI 스캔의 사각지대를 보완하며 탐지된 취약점의 유효성을 이중 확인한다.
이후 다년간의 경력을 보유한 오펜시브 보안 전문가가 자동화 도구로는 찾을 수 없는 비즈니스 로직의 치명적 허점을 수동 공략함으로써 최종 파급력을 증명하고 있다. 이 과정에서 인증 우회 및 최초 침투, 권한 탈취 및 시스템 장악, 내부망 전이 및 데이터베이스(DB) 장악 등 실제 해커 방식의 공격 시나리오를 적용함으로써 고객이 향후 직면할 수 있는 보안 위협을 선제적으로 식별하고 실효성 있는 방어 대책을 수립하도록 지원한다.
독자들의 PICK!
양 부문장은 “AI를 활용한 보안의 목표는 우회 시도를 신속하게 탐지해 정책을 지속적으로 업데이트하는 동적 방어체계를 구축함으로써 공격자의 공격 비용과 포기 가능성을 높이는 데 있다”라며 “향후에도 공격자 관점에서의 취약점 발굴과 시나리오 검증을 수행하는 오펜시브 연구를 더욱 고도화하며 AI 시대에 불안감을 해소할 수 있는 액션 아이템을 제공하는 데 주력할 것”이라고 말했다.
