AI 보안이 망가진 게 아니다, 우리가 방어 대상을 잘못 잡았을 뿐이다

사이버 보안 업계는 새로운 기술이 등장할 때마다 즉시 그 주위에 벽을 쌓는 패턴을 보입니다. 클라우드에서도 그랬고, 컨테이너에서도 그랬으며, 지금은 AI에서도 똑같이 하고 있습니다. 단, 이번에는 우리가 쌓고 있는 벽이 완전히 엉뚱한 곳에 있습니다.

오늘날 어떤 기업 보안 검토 회의에 들어가더라도 똑같은 우선순위를 듣게 될 것입니다: AI 모델 보안, 훈련 데이터 보호, 출력 검증, AI 기반 코파일럿 배포. 공급업체들은 가드레일, 프롬프트 인젝션 방어, 모델 모니터링 플랫폼과 같은 모델 수준의 제어에만 초점을 맞춘 “AI 보안” 도구를 판매하기 위해 서두르고 있습니다.

하지만 공격자들은 여러분의 AI 통합 기능을 다른 모든 것에 침투하는 고속도로로 사용하고 있습니다.

아무도 주시하지 않는 진짜 공격 표면

기업 환경 전반에서 우리가 지속적으로 관찰하는 한 패턴은 보안 팀이 AI 개발 환경 보안(모델 접근 제어, 데이터 거버넌스 프레임워크, MLOps 보안 도구 등)에 막대한 투자를 하고 있다는 우려스러운 이야기를 전합니다. 이는 그들의 AI가 “잠겨 있다”는 잘못된 자신감을 줍니다.

하지만 실제 공격 표면을 매핑해 보면, AI 챗봇이 종종 수십 개의 SaaS 플랫폼에 대한 OAuth 토큰을 보유하고, 과도한 클라우드 권한을 가진 API 키를 가지며, 단순한 프롬프트 인젝션부터 프로덕션 인프라까지 직접적인 경로를 생성할 수 있는 신원 신뢰 관계를 가지고 있음을 알 수 있습니다. 모델 자체는 안전할 수 있지만, 그 모델이 존재하는 생태계는 종종 널려 열려 있으며, 이는 예외적인 경우가 아닙니다.

기업들은 현재 평균 130개 이상의 SaaS 애플리케이션을 사용하며, AI 통합은 신원 제공자, 클라우드 인프라, 데이터베이스, 비즈니스 핵심 시스템에 걸쳐 있습니다. 각 통합은 잠재적인 공격 경로이며, 각 API 연결은 공격자가 적극적으로 탐색하는 신뢰 경계입니다.

문제는 우리의 AI 보안 도구가 망가졌기 때문이 아닙니다. 문제는 우리가 개별 구성 요소를 보호하는 동안 공격자들이 그들 사이의 연결을 악용하고 있다는 점입니다.

모델 중심 보안이 핵심을 놓치는 이유

현재의 AI 보안 접근 방식은 현대 공격이 어떻게 작동하는지에 대한 근본적인 오해 위에서 운영됩니다. 우리는 AI를 데이터베이스나 웹 애플리케이션을 보호하듯이 보호가 필요한 독립적인 자산으로 취급합니다. 하지만 프로덕션 환경의 AI는 고립되어 존재하지 않습니다. 그것은 신원, 권한, API, 데이터 흐름으로 이루어진 복잡한 그래프의 한 노드입니다.

일반적인 기업 AI 배포를 생각해 보십시오. Google Workspace에 대한 접근 권한을 가진 AI 에이전트가 있습니다. API를 통해 Salesforce에 연결되어 있습니다. 알림을 위해 Slack과 통합되어 있습니다. AWS S3 버킷에서 데이터를 가져옵니다. Okta나 Azure AD를 통해 인증을 받습니다. ServiceNow에서 워크플로를 트리거합니다.

전통적인 AI 보안은 모델 자체(그 보안 상태, 프롬프트 검증, 출력 안전성)에 초점을 맞춥니다. 하지만 공격자들은 통합 기능에 집중합니다: 손상된 서비스 계정을 통해 무엇에 도달할 수 있는지, API 조작을 통해 어디로 피벗할 수 있는지, 악용된 통합을 통해 어떤 신뢰 경계를 넘을 수 있는지.

공격은 AI 모델에서 시작하거나 끝나지 않습니다. 모델은 그저 진입점일 뿐입니다.

공격 경로는 제품 경계를 존중하지 않는다

대부분의 조직이 여기서 막힙니다. 그들은 각각 단일 도메인에 대한 가시성을 제공하는 보안 도구들을 배포했습니다. 한 도구는 클라우드 권한을 모니터링하고, 다른 도구는 SaaS 구성을 추적하며, 세 번째 도구는 신원 거버넌스를 관리하고, 네 번째 도구는 취약점 관리를 처리합니다.

각 도구는 퍼즐의 한 조각을 보여줍니다. 그 조각들이 어떻게 연결되는지는 아무 도구도 보여주지 않습니다.

Gartner에 따르면, 조직들은 현재 평균 45개 이상의 보안 도구를 사용합니다. 그러나 이 막대한 투자에도 불구하고, 단일 도구가 완전한 공격 경로를 볼 수 없기 때문에 공격자들은 이러한 도메인 전반의 잘못된 구성을 연쇄적으로 결합하는 데 성공하고 있습니다.

공격자는 여러분의 AI 모델에서 치명적인 취약점을 찾을 필요가 없습니다. 그들은 그저 연쇄 고리를 찾기만 하면 됩니다. 아마도 그것은 여러분의 AI 서비스에 연결된 잘못 구성된 IAM 역할일 수 있고, 그 역할은 S3 버킷에 대한 권한을 가지며, 그 버킷에는 여러분의 프로덕션 환경에 대한 관리자 접근 권한을 가진 SaaS 애플리케이션의 자격 증명이 들어 있을 수 있습니다.

각 개별적인 잘못된 구성은 여러분의 보안 도구에서 “중간” 또는 “낮음” 점수를 받을 수 있습니다. 하지만 연쇄적으로 결합된다면? 그것은 치명적인 노출입니다. 그리고 각 보안 도메인을 고립적으로 바라본다면 그것은 완전히 보이지 않습니다.

노출 관리의 필수성

이것이 바로 대화가 “AI 보안”에서 AI 통합 환경에 대한 지속적인 위협 노출 관리로 전환되어야 하는 이유입니다.

우리의 AI 모델이 안전한지 묻는 것만으로는 충분하지 않습니다. 보안 팀은 공격자가 AI 서비스 계정을 손상시켰을 때 실제로 무엇에 도달할 수 있는지 이해해야 합니다. 그들은 클라우드, SaaS, 신원 시스템 전반의 잘못된 구성이 어떻게 연쇄적으로 결합될 수 있는지에 대한 가시성이 필요합니다. 그들은 AI 통합이 실시간으로 공격 표면을 어떻게 변화시키는지 알아야 합니다. 그리고 그들은 심각도 점수가 아닌 실제 공격 가능성을 기반으로 위험을 우선순위화해야 합니다.

대부분의 보안 프로그램은 여전히 CVSS 점수와 특정 환경에서 취약점이 실제로 악용 가능한지 완전히 무시하는 규정 준수 체크리스트를 사용하여 위험을 고립적으로 우선순위화합니다.

이 격차는 AI 시스템에서 더욱 두드러집니다. 왜냐하면 AI 시스템은 끊임없이 변화하기 때문입니다. 새로운 통합이 매주 추가됩니다. 권한이 진화합니다. API 연결이 바뀝니다. 지난달의 공격 표면은 오늘날의 공격 표면이 아니지만, 여러분의 보안 평가는 아마도 그럴 것입니다.

공격 경로 인식 보안의 실제 모습

프로덕션 환경에서 AI를 보호하려면 근본적으로 다른 접근 방식이 필요하며, 이는 사고 방식의 네 가지 주요 전환으로 요약됩니다.

첫째, 보안 도메인 전반에 걸친 통합된 가시성이 필요합니다. 각 보안 도구가 자체적인 사일로에서 작동하도록 요구하는 것을 멈추십시오. 여러분의 클라우드 보안, 신원 거버넌스, SaaS 관리, 취약점 스캐닝 도구들은 모두 공격 경로 퍼즐의 조각들을 가지고 있습니다. 이들은 잘못된 구성이 어떻게 연쇄적으로 결합되는지 볼 수 있도록 실시간으로 데이터를 공유해야 합니다.

둘째, 지속적인 공격 경로 시뮬레이션을 받아들이십시오. 침투 테스트나 레드 팀 연습이 악용 가능한 경로를 발견하기를 기다리지 마십시오. 이론적 심각도 점수에 의존하기보다는 실제 악용 가능성에 초점을 맞춰 공격자가 여러분의 환경을 어떻게 이동할 수 있는지 지속적으로 테스트하십시오.

셋째, 컨텍스트를 기반으로 우선순위를 정하십시오. 잘못 구성된 S3 버킷이 공개되어 있다는 이유만으로 치명적인 것이 아닙니다. 그것이 공개되어 있고 자격 증명을 포함하며, 그 자격 증명이 특권 접근 권한을 가지고 있고, 인터넷에 노출된 자산에서 접근 가능할 때 치명적입니다. 컨텍스트는 어떤 개별 점수보다 중요합니다.

넷째, 사전 수정으로 나아가십시오. SOC 팀이 경고를 조사할 때쯤이면 이미 소중한 대응 시간을 잃은 상태입니다. 현대 방어는 사고 발생 후가 아니라, 악용 가능한 경로가 무기화되기 전에 이를 차단할 수 있는 능력을 요구합니다.

우리가 무시할 수 없는 경고

AI가 기업 스택의 모든 계층에 내장됨에 따라, 공격 표면은 보안 팀이 수동으로 추론할 수 있는 속도보다 빠르게 확장되고 있습니다. 우리는 AI를 보호하는 속도의 10배 속도로 AI 통합을 추가하고 있습니다.

만약 여러분이 AI를 고립시켜 보호하고, 모델을 보호하는 동시에 그것이 운영되는 생태계를 무시한다면, 여러분은 이미 뒤처진 것입니다. 공격자들은 도구 단위로 생각하지 않고, 경로 단위로 생각합니다. 그들은 개별 취약점을 악용하지 않습니다. 그들은 여러분의 전체 환경에 걸친 잘못된 구성을 연쇄적으로 결합합니다.

AI를 성공적으로 보호할 기업들은 가장 많은 AI 보안 도구를 가진 기업들이 아닐 것입니다. 그들은 AI 보안이 전체 공격 표면에 걸친 노출 관리와 분리될 수 없다는 점을 이해하는 기업들일 것입니다.

모델 보안은 기본 조건입니다. 중요한 것은 공격자가 AI 통합을 손상시켰을 때 무엇에 도달할 수 있는지 이해하는 것입니다. 보안 팀이 그 질문에 대해 지속적으로, 실시간으로, 전체 환경에 걸쳐 답할 수 있을 때까지, 그들은 AI를 보호하는 것이 아닙니다. 그들은 단지 자신들이 쌓은 벽이 제자리에 있기를 바랄 뿐입니다.