๋ฆฌํฌํŠธ

์ƒˆ๋กœ์šด ํ˜•ํƒœ์˜ ๊ณต๊ธ‰๋ง ๋ณด์•ˆ ๋ฌธ์ œ๋ฅผ ์žฌ์ฐฝ์กฐํ•˜๋Š” AI

mm
๊ฒŒ์‹œ์ผ
์—…๋ฐ์ดํŠธ์ผ

새로운 보고서에서 Manifest는 “블랙박스 너머: AI가 소프트웨어 공급망을 재고하는 방법”에 대해 발표했습니다. 이 보고서는 실행관과 운영현실 사이에 점점 커지는 간극을 보여줍니다. 미국과 EMEA의 300명 이상의 보안 리더와 실무자를 대상으로 한 설문조사에 따르면, 대부분의 경영진은 자신의 조직이 AI 주도 공급망 위험에 대해 준비되어 있다고 믿지만, 현장의 보안 팀은 상당한 거버넌스 격차, 그림자 AI 사용, 그리고 현대 소프트웨어 시스템을 구동하는 구성요소에 대한 제한된 가시성을 보고합니다.

이 발견은 기업 기술에서出现하는 중심적인 긴장을 강조합니다: AI 채택은 제품과 워크플로우 전반에 걸쳐 가속화되고 있지만, 이러한 시스템을 추적, 거버넌스, 보안하기 위한 메커니즘은 그 속도에 따라가지 못하고 있습니다.

새로운 형태의 공급망 보안 문제를 재창조하는 AI

10년 이상 동안, 조직들은 의존성 추적, 취약성 모니터링, 거버넌스 프레임워크 설정을 통해 소프트웨어 공급망 보안을 개선하기 위해 노력해 왔습니다. 그러나 Manifest 보고서는 AI가 효과적으로 동일한 위험을 다시 도입하고 있음을 주장합니다. 이제는 모델, 데이터셋, 에이전트, 제3자 AI 서비스에 걸쳐 있습니다.

AI 구성요소는 종종 불투명한 시스템으로 작동합니다. 기업들은 종종 모델이 어떻게 훈련되었는지, 어떤 데이터셋이 사용되었는지, 또는 외부 서비스가 애플리케이션 내에 내장되어 있는지에 대해 완전히 설명할 수 없습니다. 따라서 조직은 새로운 클래스의 공급망 위험에 직면합니다. 즉, 신뢰할 수 있게 검사, 검증, 또는 시간이 지남에 따라 모니터링할 수 없는 소프트웨어 시스템입니다.

보고서는 가시성이 이미 떨어지고 있음을 강조합니다. 63%의 조직은 “그림자 AI”의 존재를 보고합니다. 즉, 보안, 조달, 또는 위험 관리 팀의 감독 없이 채택된 AI 도구 또는 통합입니다.

Daniel Bardenstein, Manifest의 CEO 및 공동 설립자는 데이터가 실행관과 운영현실 사이의 간극을 보여줍니다. “AI 준비도에 대한 경영진의 信心은 AppSec 팀이 매일 대처하는 것과 일치하지 않습니다. 리더들은 거버넌스가 설정되어 있다고 믿지만, 실무자들은 관리되지 않는 AI 사용, 명확하지 않은 소유권, 제품 및 벤더 전반에 걸쳐 실제로 실행되는 것에 대한 맹점을 보고 있습니다.”

경영진은 준비되었다고 말하지만, 보안 팀은 동의하지 않습니다

보고서에서 가장 주목할만한 발견 중 하나는 경영진의 信心과 전선 보안 평가 사이의 발산입니다.

거의 80%의 보안 경영진은 자신의 조직이 성숙한 AI 보안 관행을 가지고 있다고 말합니다. 그러나 약 40%의 애플리케이션 보안(AppSec) 팀만이 이 평가에 동의합니다.

AppSec 팀은 종종 거버넌스 프레임워크의 운영 실패를 처음으로遭遇하는 팀입니다. 왜냐하면 그들은 직접 소프트웨어 공급망과 상호작용하기 때문입니다. 이러한 실무자들은 높은 볼륨의 경고, 명확하지 않은 보안 책임 소유권, 개발 및 보안 환경 전반에 걸쳐 분산된 툴링을 보고합니다.

보고서에 따르면, 47%의 응답자는 시로된 팀과 명확하지 않은 소유권을 소프트웨어 공급망 보안을 개선하는 데 가장 큰 장애물로 식별했습니다.

결과는 조직이 강력한 보안 프로그램을 가지고 있다고 믿는 환경이지만, 가시성, 책임, 운영 조정 측면에서 중요한 격차가 남아 있습니다.

SBOM 역설: 생성되지만 거의 사용되지 않음

또 다른 주요 통찰은 소프트웨어 청구서(SBOM)와 관련이 있습니다. SBOM은 의존성과 취약성을 추적하기 위해 설계된 소프트웨어 구성요소의 인벤토리입니다.

SBOM 채택은 최근 몇 년 동안 크게 확대되었습니다. 특히 규제 압력과 공급망 공격으로 인해 vậy입니다. 그러나 Manifest 연구는 많은 조직이 SBOM 생성을 운영 능력으로 아니라 규제 준수 체크박스로 간주한다는 것을 시사합니다.

보고서는 몇 가지 주요 통계를 강조합니다:

  • 60%의 조직이 SBOM을 생성합니다
  • 반 이상이 실제로 이를 관리하거나 사용하지 않습니다
  • 79.6%가 소프트웨어 구성 분석(SCA) 툴을 사용합니다
  • SBOM 운영 사용은 41.8%로 훨씬 낮습니다

중앙 집중식 수신, 정규화, 정책 시행, 지속적인 모니터링 없이, SBOM은 정적 아티팩트가 아닌 활성 위험 관리 도구가 됩니다.

보안 팀은 또한 전통적인 소프트웨어 구성 분석 플랫폼에 대해 회의적입니다. 56.3%의 응답자는 SCA 툴이 노이즈를 생성하거나 개발 팀을 지연시킨다고 말합니다. 그리고 46.4%는 이러한 툴이 실제 소프트웨어 위험을 의미 있게 줄이지 않는다고 의심합니다.

이 간극은 조직이大量의 보안 데이터를 생성할 수 있지만, 이러한 신호를 실제 위험 감소로 번역하는 운영 인프라가 부족하다는 더广泛한 성숙도 도전을 보여줍니다.

투명도 데이터는 보안과 배포 속도를 개선합니다

이러한 도전에도 불구하고, 연구는 조직이 소프트웨어 공급망 전반에 걸쳐 의미 있는 투명도를 달성할 때 측정할 수 있는 이점을 얻을 수 있음을 보여줍니다.

几乎 절반의 응답자(49.4%)는 공급업체로부터 투명도 데이터(예: SBOM, 출처 레코드, 서명된 바이너리)를 받았다고 보고합니다.

이 정보가 신뢰할 수 있고 운영화되면, 영향은重大합니다:

  • 64%가 새로운 기술을 더 빠르게 구현한다고 보고합니다
  • 61.6%가 보안 문제를 더 빠르게 해결한다고 보고합니다
  • 15.5%가 다운타임을 줄였다고 보고합니다

투명도가 부족한 조직은 보고서에서 “투명도 세금”을 지불합니다. 즉, 불투명한 소프트웨어 구성요소를 수동으로 조사하는 데 필요한 추가 시간, 비용, 위험입니다.

규제가 많은 산업은 이 도전을 잘 보여줍니다. 금융 서비스와 헬스케어 조직은 공급업체로부터 투명도 데이터를 받는 비율이 가장 낮습니다(각각 14.3%와 19.5%).尽管 그들이 가장 필요로 하지만 말입니다.

전사적으로 AI 채택이 가속화되고 있습니다

연구는 또한 AI가 전사적으로 어떻게 빠르게 내재화되고 있는지 보여줍니다.

거의 모든 조직은 AI를 완전히 피한다고 보고하지 않습니다. 대신, 회사는 다양한 접근 방식을 실험하고 있습니다:

  • 80.2%가 내부적으로 승인된 상업용 AI 모델을 사용합니다
  • 79.9%가 광범위하게 상업용 툴을 사용합니다(예: ChatGPT 또는 Cursor)
  • 56.7%가 내부 데이터에 대해 오픈 웨이트 모델을 훈련합니다
  • 29.3%가_scratch부터 사용자정의 AI 모델을 구축합니다

금융 서비스와 기술 회사들은 채택을 주도하고 있습니다. 거의 90%의 금융 서비스 조직이 내부적으로 승인된 AI 모델을 보고합니다. 그리고 46.9%가_scratch부터 사용자정의 모델을 구축합니다. 이는 전체 평균보다 훨씬 높습니다.

이러한 부문은 빠르게 움직이는 강한 인센티브를 가지고 있습니다. 금융 서비스에서 AI는 직접적으로 사기 탐지, 위험 관리, 수익 생성에 영향을 미칩니다. 기술 회사에서는 AI가 제품 및 플랫폼 기능의 핵심에 위치하고 있습니다.

그러나 채택의 속도는 종종 거버넌스를 앞서갑니다.

그림자 AI는 널리 퍼지는 문제가되고 있습니다

연구는 그림자 AI(즉, 공식적인 감독 없이 배포된 도구 또는 모델)가 이미 널리 퍼져 있는 것을 확인합니다.

단지 34.8%의 응답자만이 자신의 조직에 그림자 AI가 없다고 보고합니다. 나머지는 적어도 일부 관리되지 않는 AI 사용을 인정합니다.

이 패턴은 이전의 “그림자 IT” 波에似て 있습니다. 여기서 직원들은 공식적인 조달 프로세스 외부에서 클라우드 서비스 또는 SaaS 툴을 채택했습니다.

지역적인 차이도 나타나고 있습니다. EMEA의 조직은 그림자 AI 없이 운영하는 비율이 더 높습니다(45.7%). 이는 다른 지역보다 규제 프레임워크가 더 강하고 조달 프로세스가 더 엄격하기 때문입니다.

그러나 보고서는 전통적인 보안 툴이 AI 모델, 데이터셋, 서비스를 분산된 개발 환경에서 추적하기 위해 설계되지 않았다는 것을 경고합니다.

라이선스 및 법적 위험은 또 다른 주요 맹점입니다

기술적인 거버넌스 너머, 연구는 AI 채택과 관련된 법적 및 규제 도전을 강조합니다.

AI 모델 및 데이터셋의 라이선스 조건, 지적 재산권, 사용 제한을 이해하는 것은 많은 조직에게 어려운 일입니다. 설문조사에서는 다음과 같이 나타났습니다:

  • 93%의 응답자가 자신의 조직이 AI 라이선스 및 지적 재산권 의무를 관리하는 데 개선의 여지가 있다고 말합니다
  • 54.6%가 이 점을 주요 도전으로 강하게 동의합니다

이러한 위험은 조직이 내부 데이터에 대해 오픈 웨이트 모델을 훈련하거나 제3자 AI 구성요소를 결합할 때 특히 심각해집니다.

강력한 거버넌스 프레임워크가 없으면, 회사들은 라이선스 위반 또는 규제 노출을 생산 시스템에 도입할 수 있습니다.

운영적 조정은 실제 도전일 수 있습니다

보안 툴링이 계속 진화하는 동안, 보고서는 기술 자체가 효과적인 AI 공급망 보안의 가장 큰 장벽이 아닐 수 있음을 시사합니다.

대신, 많은 조직은 분산된 소유권, 분리된 워크플로, 소프트웨어 및 AI 구성요소에 대한 공유 시스템의 부재와 같은 운영적 제약에苦労합니다.

가장 자주 인용되는 제약에는 다음이 포함됩니다:

  • 47.3%의 조직적 제약
  • 36.3%의 불충분한 기술
  • 35.7%의 예산 제한
  • 34.8%의 관리 이해 부족
  • 32.6%의 인력 부족

이러한 운영적 격차는 보안 신호가 일관된 정책 시행 또는 측정 가능한 위험 감소로 번역되는 것을 어렵게 만듭니다.

AI 공급망 보안은 전략적 우선 순위가되고 있습니다

AI가 기업 소프트웨어의 모든 계층에 내재화됨에 따라, 소프트웨어 공급망의 개념은 모델, 훈련 데이터셋, 추론 서비스, 제3자 AI 플랫폼을 포함하도록 확장되고 있습니다.

Manifest 보고서는 조직이 점진적인 가시성 툴을 넘어, AI 공급망에 대한 지속적이고 운영적인 제어를 구축해야 함을 결론지었습니다.

이것은 다음을 포함합니다:

  • 개발 환경 전반에 걸쳐 사용되는 모든 AI 모델을 추적
  • 훈련 데이터의 출처와 라이선스를 검증
  • 개발 및 배포 중 거버넌스 정책을 시행
  • AI 구성요소에 대한 연속적인 인벤토리를 유지

이러한 메커니즘이 없으면, AI 채택과 AI 거버넌스 사이의 간극은 계속 커질 것입니다.

그리고 연구가 분명히 보여주듯이, 이 간극은 이미 많은 기업 내에 존재합니다.

mm

์•™ํˆฌ์•ˆ์€ ์œ ๋‚˜์ดํŠธ.AI์˜ ๋น„์ „์žˆ๋Š” ๋ฆฌ๋”์ด์ž ๊ณต๋™ ์ฐฝ๋ฆฝ์ž๋กœ์„œ AI์™€ ๋กœ๋ด‡๊ณตํ•™์˜ ๋ฏธ๋ž˜๋ฅผ ํ˜•์„ฑํ•˜๊ณ  ์ด‰์ง„ํ•˜๋Š” ๋ฐ ๋Œ€ํ•œ ๋ถˆ๋ณ€์˜ ์—ด์ •์„ ๊ฐ€์ง€๊ณ  ์žˆ์Šต๋‹ˆ๋‹ค. ์—ฐ์†์ ์ธ ๊ธฐ์—…๊ฐ€๋กœ์„œ, ๊ทธ๋Š” AI๊ฐ€ ์‚ฌํšŒ์— ์ „๊ธฐ์™€ ๊ฐ™์€ ํŒŒ๊ดด๋ ฅ์„ ๊ฐ€์งˆ ๊ฒƒ์ด๋ผ๊ณ  ๋ฏฟ์œผ๋ฉฐ, ์ข…์ข… ํŒŒ๊ดด์ ์ธ ๊ธฐ์ˆ ๊ณผ AGI์˜ ์ž ์žฌ๋ ฅ์— ๋Œ€ํ•ด ์—ด๊ด‘ํ•ฉ๋‹ˆ๋‹ค.

ไฝœไธบ ๋ฏธ๋ž˜ํ•™์ž๋กœ, ๊ทธ๋Š” ์ด๋Ÿฌํ•œ ํ˜์‹ ์ด ์šฐ๋ฆฌ ์„ธ๊ณ„๋ฅผ ์–ด๋–ป๊ฒŒ ํ˜•์„ฑํ• ์ง€ ํƒ๊ตฌํ•˜๋Š” ๋ฐ ํ—Œ์‹ ํ•˜๊ณ  ์žˆ์Šต๋‹ˆ๋‹ค. ๋˜ํ•œ, ๊ทธ๋Š” Securities.io์˜ ์ฐฝ๋ฆฝ์ž๋กœ์„œ, ๋ฏธ๋ž˜๋ฅผ ์žฌ์ •์˜ํ•˜๊ณ  ์ „์ฒด ๋ถ€๋ฌธ์„ ์žฌํ˜•์„ฑํ•˜๋Š” ์ตœ์ฒจ๋‹จ ๊ธฐ์ˆ ์— ํˆฌ์žํ•˜๋Š” ํ”Œ๋žซํผ์„ ์šด์˜ํ•˜๊ณ  ์žˆ์Šต๋‹ˆ๋‹ค.