BESPICK
점점 늘어나는 위협, 지금 필요한 AI 보안 리스크 대응 가이드
생성형 AI와 AI 에이전트의 활용이 보편화되면서 AI의 특성을 노린 새로운 공격들이 늘어나고 있습니다. CrowdStrike의 공격 대응 작전 총괄 Adam Meyers는 “AI가 기업의 운영 방식은 물론, 해커들의 공격 방법도 새롭게 정의하고 있다”고 말했는데요. 특히 해커들이 단순히 AI를 공격에 활용할 뿐 아니라 기업의 AI 시스템을 표적으로 삼고 있다고 강조했습니다.
그 배경에는 대응 역량과 인프라가 충분히 갖춰지지 않은 상태에서 AI 도입에만 집중하는 기업들의 현실이 있는데요. 특히 승인되지 않은 AI(=Shadow AI)의 사용이 늘어나면서 보안 취약점이 확산되고 있습니다. IBM 보고서에 따르면 Shadow AI로 인한 침해 비용은 67만 달러(한화 9억 5천 원)에 달하며, AI 보안 사고를 경험한 조직의 97%는 AI 보안 기능을 갖추지 못했다고 하죠.
이처럼 AI 도입은 빠르게 이루어져야 하지만 동시에 반드시 보안을 함께 고려해야 합니다. 오늘은 AI 활용 방식별로 어떤 보안 위협이 발생하는지 알아보고 대응 전략과 솔루션까지 함께 살펴보겠습니다.
초대장만으로도 뚫린다? 보이지 않는 보안 위협
많은 기업들이 업무 생산성을 높이기 위해 ChatGPT나 Gemini와 같은 AI 도구를 활용하고 있습니다. 또한 디자인, 코딩, 번역 등 직무 특화형 AI 애플리케이션 도입도 증가하고 있는데요. 이러한 AI 도구와 애플리케이션은 사용자가 요청하는 내용(=프롬프트)을 기반으로 작동하는 것이 기본이죠. 이때 가장 주의해야 할 공격은 프롬프트 인젝션(Prompt Injection)인데요. AI가 사용자의 요청이 아닌 공격자가 설계한 악성 프롬프트를 수행하도록 유도하는 공격 방식입니다.
최근에는 외부 데이터 소스에 악성 지시를 숨겨두는 간접 프롬프트 인젝션도 등장했습니다. 한 실험에서는 구글 캘린더 초대장만으로 스마트 홈 기기 제어가 가능하다는 것이 확인되었는데요. 초대장 내용에는 스마트 홈의 전등을 켜라는 프롬프트가 숨겨져 있었고, Gemini에게 캘린더 일정 요약을 요청하자 그 명령이 실행된 것입니다. 이 외에도 같은 기법을 통해 스팸 링크 발송이나 유해 콘텐츠 생성, 이메일 정보 유출 등도 가능했습니다.
AI 브라우저 Comet에서도 비슷한 취약점이 발견되었습니다. 소셜 미디어 게시물에 악성 프롬프트를 삽입하고 웹페이지 요약 기능을 실행했더니 계정 접근 토큰이 노출되었다고 하죠. AI 도구와 애플리케이션이 일상화되면서 이러한 간접 프롬프트 인젝션 공격은 더욱 시급한 문제로 떠오르고 있는데요. 이에 Google은 프롬프트 처리 단계마다 보안 조치를 취하는 다층적 방어 전략을 공개했습니다. 이러한 위협에 대응하기 위해 기업이 참고할 수 있는 일반적인 보안 전략은 다음과 같습니다.
AI 도구 및 애플리케이션 보안 전략
- 프롬프트 필터링: 이메일, 캘린더, 파일 등에 악성 지시를 필터링해 안전한 답변만을 생성
- 보안적 사고 강화: 프롬프트 처리 시 보안 지시문 추가, 사용자 요청 외 악성 지시는 무시 유도
- 의심스러운 URL 삭제: 문서나 이메일에 포함된 외부 URL 식별, 안전하지 않은 URL 자동 삭제
- 사용자 확인 체계: 중요 작업 실행 전 사용자 확인 요청, 위험 행동의 자동 실행 방지
믿었던 AI 에이전트에 발등 찍힌다?
스스로 판단하고 행동하는 AI 에이전트는 업무 효율을 크게 높이지만 동시에 새로운 공격 대상이 되었습니다. AI 에이전트를 공격하면 악성 행위 역시 자율적으로 실행되어 피해를 순식간에 확산시킬 수 있기 때문입니다. 특히 자기 복제 기능을 악용한 AI Worm에 취약한데요. 악성 프롬프트를 실행할 뿐 아니라 다른 AI 에이전트에도 악성 지시를 복제하고 전달해 널리 퍼트리는 것입니다.
작년 초 이스라엘의 보안 전문가들은 자가 복제 기능을 지닌 AI Worm ‘Morris II’를 시연했습니다. 이메일 AI 에이전트를 공격하고 다른 에이전트들도 감염시켜 스팸 이메일을 대량으로 생성했는데요. 또한 개인 정보를 묻는 질문을 알아서 작성해 개인 정보를 탈취하기도 했습니다. 이처럼 사람이 개입하지 않아도 들불처럼 퍼져 AI 시스템을 장악해버리는 것이 AI 에이전트를 대상으로 한 공격의 특징입니다.
AI 에이전트에게 부여된 권한을 악용하기도 합니다. 얼마 전 GitHub에서는 모든 저장소에 접근할 수 있는 권한을 지닌 AI 에이전트를 겨냥한 공격이 발견되었는데요. 악성 명령이 담긴 이슈를 생성하고, 개발자가 이슈 확인을 요청하면 AI 에이전트가 비공개 저장소에 접근해 데이터를 유출하는 수법이었습니다. 이와 같이 마스터 권한을 지닌 AI 에이전트를 공격하면 비공개 저장소의 API는 물론 고객 데이터, 비즈니스 기밀, 개인 금융 정보 등을 탈취할 수 있습니다.
AI 에이전트를 위한 보안 전략
- 권한 최소화 및 암호화: AI 에이전트 업무에 필요한 최소 권한만 부여하고, 토큰은 암호화
- 실시간 모니터링 및 이상 탐지: AI 에이전트의 행위를 실시간 분석해 비정상 행동 즉시 차단
- AI 에이전트 맵 가시화: 조직 내 모든 AI 에이전트의 현황 및 권한을 명확히 파악
천천히 은밀하게 AI 모델을 조작하거나 훔치는 방법
기업이 자체 모델을 구축하거나 상용 AI 모델을 도입하면서 AI 모델을 노린 공격 방식도 성행하고 있습니다. 가장 대표적인 것은 학습 데이터를 조작해 AI 모델을 교묘하게 오염시키는 데이터 포이즈닝(Data Poisoning)인데요. 데이터 안에 악성 명령을 삽입해 정상적인 학습을 방해하고 기존에 있던 민감한 정보들을 빼내기도 합니다. 프롬프트 인젝션이 공격 즉시 일시적으로 AI의 행동을 조작한다면 데이터 포이즈닝은 장기간에 걸쳐 AI 모델 자체를 근본적으로 조작합니다.
올해 초 AI 모델 DeepSeek R1이 학습한 데이터 안에서 탈옥 프롬프트가 발견되었습니다. 겉으로는 문제가 없었지만 어느 시점에서 스스로 보안 필터를 우회하는 것이 확인되었는데요. 인터넷 연결이나 외부 데이터 소스 제공 없이 학습된 데이터만으로 동작했다는 점에서 데이터 포이즈닝일 가능성이 제기되었습니다. 또한 학습 시점으로부터 6개월이 지나 드러났다는 점에서 데이터 포이즈닝의 잠복성을 보여주기도 하죠.
AI 모델을 도용하는 공격 방식도 존재합니다. 작년 미국의 한 연구진은 직접적인 해킹 없이 AI 모델을 훔치는 데 성공했는데요. AI 모델의 실행 TPU를 모니터링해 하이퍼 파라미터 정보를 알아내고 기능적으로 유사한 모델을 재현한 것입니다. 이 밖에도 모델에게 반복적인 질문과 답변을 통해 학습 데이터를 복원하거나, AI의 파라미터나 아키텍처를 악의적으로 수정해 모델 자체를 조작하는 공격도 있습니다.
AI 모델 보안 강화 전략
- 훈련 데이터 검증: 데이터 검증을 통해 손상된 데이터 및 악성 데이터 필터링
- 데이터 워터 마킹: 데이터 무단 복제 시 추적 및 식별을 위한 워터마크 사용
- 속도 제한: 특정 시간 내 모델이 수행할 수 있는 쿼리 수를 제한해 공격 활동 방어
- 모델 난독화: 모델의 아키텍처, 계층 정보 등의 세부 내용을 암호화하여 관리
- 출력 검증: 악성 명령, 민감 정보 유출, 부적절한 결과 등의 생성 방지
AI 생태계 전체를 노린다, 공급망 및 인프라 공격
더 나아가 AI 공급망과 운영 인프라 전반으로 공격 범위가 확장되고 있습니다. 특히 많은 기업들이 사용하는 오픈소스 기반의 AI 기술은 편리하고 접근이 용이한 만큼 공격 통로가 되기도 쉬운데요. 오픈소스의 특성상 누구나 간단하게 백도어가 숨겨진 AI 모델이나 악성 소프트웨어 패키지를 배포할 수 있기 때문입니다.
실제로 지난해 AI 모델 플랫폼 Hugging Face에서는 다른 AI 모델을 공격할 수 있는 악성 모델이 발견되었는데요. 원격 코드 실행이나 권한 탈취를 통해 다른 사용자들의 자원을 침해할 수 있는 수준으로 밝혀졌습니다. 또한 CI/CD 과정에 침투해 정상적인 AI 모델에도 악성코드를 주입할 위험도 있었다고 하죠.
AI를 미끼로 한 가짜 소프트웨어 패키지를 유포하는 사례도 늘고 있습니다. 몇 달 전 Python 패키지 플랫폼 PyPI에서는 Aliyun AI Labs SDK가 공개되었는데요. 알고 보니 이용자의 컴퓨터 네트워크 주소와 조직 정보, Git 파일 등 정보 탈취를 노리는 악성 패키지였습니다. 발견 후 삭제되기 전까지 총 1,700회 이상 다운로드 되었다고 하죠. 이처럼 AI 생태계를 노린 보안 위협은 빠르게 확산되는 데 반해 탐지까지는 시간이 걸려 더욱 치명적이라고 할 수 있습니다.
AI 공급망 및 인프라 공격 대응 방안
- 사전 위협 탐지: 외부 AI 모델 및 소프트웨어 패키지 도입 전 신뢰성 및 보안성, 편향성 검증
- AI 사용 정책 구축: 자동화된 콘텐츠 필터링, 입출력 검증 등 강력한 가드레일 구축
- AI 보안 형상 관리: 전사 AI 시스템 보안 설정과 상태에 대한 가시성 확보 및 지속적 모니터링
선택이 아닌 필수! 사이버 전장의 핵심 = AI 보안
AI가 비즈니스의 핵심으로 자리 잡으면서 그만큼 공격 표면도 넓어지고 있습니다. 따라서 이제는 AI 도구부터 애플리케이션, 에이전트, 모델, 공급망 및 인프라까지 전방위적인 보안 체계를 갖추는 것이 곧 경쟁력이 되었는데요.
누구보다 빠르고 확실하게 AI 보안을 챙기고 싶은 분들께 맞춤 AI 보안 솔루션 HelpNow AI Security를 소개합니다. 기업이 AI를 활용하는 전 과정에서 발생하는 여러 보안 위협을 미리 진단하고 차단하는 종합 보안 서비스인데요. 프롬프트 필터, 민감 정보 탐지, 이상 행위 탐지, AI 워터 마킹 등의 기능을 통해 프롬프트 인젝션, 데이터 유출, 악성 콘텐츠 생성 등을 방지합니다.
HelpNow AI Security 핵심 기능
- Gen AI 접근 보안: AI 활용 전반에 대한 가시성 확보 및 잠재적 데이터 유출 방지
- AI App Runtime 보호: 실제 운영 중인 AI 모델 대상의 실시간 탐지 및 차단 기능 제공
- AI 공급망 및 인프라 보안 위협 보호: AI 에이전트 및 애플리케이션 사용 현황 관리
- AI 기반 실시간 보안 관제: AI를 활용해 잠재적 공격과 이상 징후 실시간 탐지 및 분석
HelpNow AI Security는 베스핀글로벌이 그동안 200여 개 이상 고객사에 AI 서비스를 제공해 온 경험과 역량을 바탕으로 설계되었습니다. 실제로 AI 에이전트 기업 K사는 HelpNow AI Security를 통해 AI 서비스 가시성 확보, AI 모델 실시간 모니터링 등 AI에 최적화된 보안 시스템을 구축했는데요. 그 결과 보안 위협을 빠르게 탐지하는 등 운영 효율을 높인 것은 물론 데이터 유출 시도의 95%를 차단했습니다.
HelpNow AI Security가 더 궁금하신 분들은 언제든 베스핀글로벌에 문의해 주시기 바랍니다. 여러분의 안전한 AI 사용을 위해 베스핀글로벌이 함께 하겠습니다
FAQ
Q1) 프롬프트 인젝션(Prompt Injection)이란 무엇인가요?
AI에게 사용자의 요청이 아닌 공격자가 설계한 악성 명령을 실행하게 하는 공격 기법입니다. 이메일, 캘린더, 웹페이지 등 외부 데이터에 악성 프롬프트가 숨겨져 있을 수 있으며, 이를 통해 데이터 유출이나 악성 코드 실행이 발생할 수 있습니다.
Q2) Shadow AI는 왜 위험한가요?
조직 승인 없이 개인이 사용하는 비공식 AI 도구를 말합니다. 기업 내부 데이터를 외부로 전송하거나 보안 기능이 없는 환경에서 운영되기 때문에 데이터 유출과 규제 위반의 주요 원인이 됩니다.
Q3) AI 에이전트 공격은 어떤 방식으로 이루어지나요?
자율적으로 행동하는 AI 에이전트의 권한을 악용하거나, 자기 복제형 AI Worm을 퍼뜨려 다른 에이전트를 감염시키는 방식으로 이루어집니다. 이 경우 사람이 개입하지 않아도 피해가 빠르게 확산됩니다.
Q4) 데이터 포이즈닝(Data Poisoning) 공격은 어떻게 발생하나요?
AI 모델이 학습하는 데이터에 악성 명령이나 왜곡된 정보를 삽입해 모델의 판단을 조작하는 공격입니다. 장기간 잠복할 수 있으며, 모델이 민감한 정보를 유출하거나 보안 정책을 우회하도록 만들 수 있습니다.
Q5) HelpNow AI Security는 어떤 역할을 하나요?
프롬프트 인젝션, 데이터 포이즈닝, Shadow AI 등 다양한 AI 보안 위협을 실시간으로 탐지하고 차단하는 종합 보안 솔루션입니다. AI 활용 전반의 가시성을 확보하고, 민감 정보 탐지·AI 워터마킹·이상 행위 모니터링 기능을 제공합니다.