
정부가 앤트로픽의 미토스 등 AI 발전에 따른 사이버 보안 위협에 대응하고 현장 역량을 강화하기 위한 지침을 마련했다.
과학기술정보통신부와 한국인터넷진흥원(KISA)은 'AI 보안 위협 대응 매뉴얼'과 'AI 보안 레드티밍 가이드'를 발간했다고 8일 밝혔다. AI 환경에서 발생할 수 있는 주요 보안 위협과 사례를 정리하고 실제 현장에서 활용할 수 있는 점검·대응 방안을 제시하는 데 중점을 뒀다.
우선 AI 보안 위협 대응 매뉴얼은 △AI 보안 위협 분류기준·진단법 △산업별 위협 시나리오 △AI 보안 위협별 대응 방안 등을 담았다. 매뉴얼에 따르면 보안위협 분류 기준은 데이터 위협, 모델 위협, 에이전트 위협, 공급망 위협, 고성능 모델 위협 등이다. 위협 시나리오는 금융, 의료, 공공·행정, 교육, 제조·에너지, 통신, 법률, IT 등 8개 산업으로 분류했다.
AI 보안 레드티밍 가이드는 AI 보안 레드팀을 운영하고자 하는 실무진을 위한 가이드다. 레드팀은 실제 공격자 관점에서 보안 취약점을 식별하고 대응 방안을 마련하는 전문 조직이다. 이번 가이드는 여러 산업을 아우르는 레드팀 운영 방법론을 정리했다. △레드팀 기획·구성부터 △레드티밍 준비 △레드티밍 이행 △결과 보고까지 전 과정을 안내한다. 레드티밍 체크리스트와 점검 도구, 레드팀 인력 직무기술서 등을 추가해 실용성을 제고했다. AI 레드티밍 국제표준안(ISO/IEC 42119-7)에 기반해 국제 기준에 부합하도록 했다.
임정규 과기정통부 정보보호네트워크정책관은 "AI 기술이 확산하면서 보안 위협도 빠르게 진화 중"이라며 "이번 가이드가 AI 현장에서 활용할 수 있는 실질적인 기준이 되기를 기대한다"고 밝혔다. 이어 "AI 보안 레드팀 사업을 통해 공격 시나리오와 적용 도메인을 지속해서 확대·발굴하고, 최신 기술과 동향을 반영하겠다"고 말했다.