"금보원, AI 레드티밍때 전통 보안 영역 더 많이 봐"

AI 요약

이주현 금융보안원 AI혁신부 수석은 17일 한국정보보호학회가 개최한 제32회 정보통신망 정보보호 컨퍼런스(NetSec-KR 2026)에서 인공지능 보안은 전통적인 보안과 AI 영역의 커뮤니케이션이며 오히려 전통적인 보안이 더 많은 부분을 차지한다고 밝혔습니다. 금융보안원은 AI 레드티밍을 할 때 과거 적대적 부분 중심에서 벗어나 화이트해커들과 같이 전통적인 보안 영역을 더 많이 보고 있으며, 오픈클로에서는 지난달 18일부터 21일까지 CVSS 7.1~8.8점 수준의 CVE 취약점 9건이 공개되었다고 소개했습니다. 이 수석은 원격 코드 실행, 프롬프트 인젝션, 샌드박스 탈출, 자격증명 탈취, 데이터 유출, 공급망 공격(플러그인), 승인 우회 등을 보안 위협으로 제시하고 커널 수준 샌드박스, Deny-by-Default와 네트워크·컨텍스트 격리, 외부 정책 적용, 호스트 저장·게이트웨이 프록시 주입, 메시지 구조 분리, 무결성·스키마 검증, 실시간 모니터·감사로그 등 대응 방안과 소프트 가이드가 아닌 하드 컨트롤·심층 방어·신뢰 수준별 격리 설계의 중요성을 강조했습니다.