차세대 보안평가, 공격 시뮬레이션과 AI 검증으로 진화
ASM·자동화·AI 기반 평가 확대…AI 시스템·메타버스 보안 표준화 논의 본격화
사이버 공격이 클라우드와 인공지능(AI) 환경에서 빠르게 진화하면서, 설계 문서와 절차 중심으로 진행돼온 기존 보안평가만으로는 정교해진 공격을 충분히 대응하기 어렵다는 우려가 나오고 있다. 이에 보안업계에서는 공격 시뮬레이션, 자동화된 취약점 검증, 인공지능(AI) 기반 평가 등 차세대 보안평가 기술이 부상하고 있으며, 국제표준화 움직임이 본격화되고 있다.
한국정보보호학회는 지난 27일 한성대학교에서 ‘2025 보안평가/메타버스 국제 표준화 워크숍’을 열고, 차세대 보안평가 기술과 메타버스 보안 표준 등 최신 이슈를 공유하는 자리를 가졌다. 이날 워크숍은 국제표준화에 국내 연구 성과를 반영하기 위해 마련됐다.
워크숍의 핵심 주제인 ‘보안평가 기술‘은 정보시스템이나 보안 제품이 실제 환경에서 얼마나 안전한지를 측정·검증하는 방법을 말한다. 쉽게 설명하면, 금고의 자물쇠가 강도의 탈취 시도에 얼마나 버틸 수 있는지를 시험하는 것과 같다. IT 보안에서는 방화벽, 클라우드, AI 서비스 같은 시스템이 공격을 제대로 탐지·차단하는지, 취약점이 어디에 있는지를 평가하는 과정이 해당된다.
CC 인증의 한계, 이젠 전환이 필요하다
그동안 보안성 검증은 ‘공통평가기준(CC, Common Criteria) 인증‘이 중심이었다. CC 인증은 1990년대 후반부터 국제적으로 통용돼 온 평가 체계로, 보안 제품이나 시스템이 설계 문서에 따라 제대로 구현됐는지를 확인한다. ▲보안 요구사항 정의 ▲설계·구현 검토 ▲시험 절차 검증 과정을 거쳐 일정 등급(EAL1~EAL7)의 보안성을 부여하는 방식이다.
CC 인증은 글로벌 차원에서 가장 널리 활용되는 평가 제도지만, 평가 주기가 길고, 새로운 위협을 신속히 반영하기 어려우며, 실제 운영 환경을 충분히 반영하지 못하는 등 한계가 지적돼왔다. 특히, 클라우드·AI·모바일 중심의 디지털 전환 환경에서는 기존 CC 인증만으로는 보안성을 담보하기 어렵다는 분석도 나온다. CC 인증이 제품 설계와 문서를 기반으로 수개월 이상 심사하는 방식이라 빠르게 변하는 공격 기법과 실시간 업데이트가 이뤄지는 서비스 환경을 따라가기 어렵다. 클라우드와 AI 모델은 운영 중에도 지속적으로 패치와 개선이 이뤄지는데, CC 인증은 특정 시점의 고정된 버전을 기준으로 하기 때문에 최신 상태와 괴리가 생길 수밖에 없다는 것이다.
일례로, AI 시스템의 프롬프트 인젝션이나 클라우드 멀티테넌시(다수 고객이 같은 인프라를 공유하는 구조) 환경에서의 취약점처럼 새로운 유형의 위협은 CC 기준에 포함돼 있지 않아, 현실 위협을 충분히 검증하지 못한다는 한계가 있다.
이에 연구자들과 산업계는 ‘실효성 중심 평가’로 무게중심을 옮기고 있다. 단순히 제품 설계 문서를 검토하는 것이 아니라, 실제 위협 시나리오를 반영해 얼마나 탐지·차단·복구할 수 있는지를 정량적으로 측정하는 접근 방식이다.
차세대 보안평가의 네 가지 축
이날 공개된 연구 발표 자료에 따르면, 차세대 보안평가 기술은 크게 네 가지로 요약된다. 먼저 ‘공격 시뮬레이션(BAS)‘은 실제 해킹 절차를 자동화된 시나리오로 실행해 방어 체계가 제대로 작동하는지를 살펴보는 방식이다. 공격자가 활용하는 최신 전술과 기법을 그대로 반영할 수 있어, 기존의 일회성 침투 테스트보다 효율적이라는 평가가 나온다.
또 다른 축은 ‘공격 표면 관리(ASM)‘다. 기업이나 기관이 보유한 시스템 가운데 외부에 노출된 자산을 자동으로 찾아내고, 그 취약점을 지속적으로 점검하는 개념이다. BAS와 결합할 경우 실제 공격 경로가 어떻게 열릴 수 있는지까지 검증할 수 있어 보안 운영에 실질적인 개선점을 제공한다.
‘AI 기반 평가‘ 역시 주목받고 있다. 대규모 데이터셋을 활용해 보안 솔루션의 탐지·대응 성능을 측정하고, 탐지율뿐 아니라 잘못된 경보(오탐)와 놓친 위협(미탐)의 비율까지 정량화한다. 이는 단순히 방어 기술의 성능을 확인하는 수준을 넘어, 운영 효율성을 높이고 관리자의 부담을 줄이는 효과로 이어진다는 것이 학계의 의견이다.
마지막으로 ‘레드팀·블루팀 활동‘의 자동화도 눈여겨 볼 만하다. 과거에는 전문가가 직접 공격자 역할을 맡아 침투를 시도하거나 방어 전략을 짜는 방식이 일반적이었다. 하지만 이제는 자동화된 툴과 시뮬레이션 환경을 활용해 같은 훈련을 반복적으로 수행할 수 있다. 덕분에 대규모 조직도 일관된 평가 결과를 확보할 수 있고, 실제 보안 대응 역량을 체계적으로 강화할 수 있다.
금융권 등 산업에 적용, AI·메타버스 보안평가 표준화도 논의
금융권에서는 ‘제로트러스트’ 체계 구축 과정에서 BAS·ASM 기반 평가 도입을 적극적으로 검토하고 있다. 공공기관 역시 디지털 서비스 확대에 따라 클라우드 보안 검증을 위해 자동화 평가 방식을 모색 중이다. 클라우드 사업자들은 멀티테넌시 특성상 보안평가 자동화의 필요성이 더 크다. 실제 운영 환경을 반영하지 않으면 위험이 집단적으로 확산될 수 있기 때문이다.
국제적으로도 보안평가 방법론은 빠르게 재편되고 있다. ISO/IEC JTC1 SC27 등 국제 표준화 기구에서는 ▲AI 기반 보안평가 프레임워크 ▲자동화된 보안성 검증 절차 ▲평가 결과의 객관성·재현성 확보 방안 등을 논의 중이다. 각국 정부와 기업은 표준화 과정에서 자국 기술을 반영하기 위해 적극적으로 참여하고 있으며, 한국도 이번 워크숍을 계기로 기여를 확대하고 있는 상황이다.
또한, 이날 워크숍에서는 ‘AI 시스템의 보안평가 표준화’도 중요한 의제로 다뤄졌다. AI 모델의 특성상 결과를 예측하기 어렵고, 학습 데이터의 편향에 따라 보안 취약점이 발생할 수 있다는 문제가 지적됐다. 이에 ▲AI 모델의 위협 시나리오 정의 ▲AI 서비스 운영 환경의 평가 기준 ▲AI 활용 보안 솔루션의 검증 절차 등이 국제표준 차원에서 논의되고 있다. 단순히 보안 기술 평가를 넘어, AI 활용 서비스 전반의 신뢰성을 확보하기 위한 기초 작업으로 평가된다.
이외에도 ‘메타버스 보안’에 대한 논의도 이뤄졌다. 가상공간에서의 개인정보 보호, 아바타 도용, 가상자산 탈취 등 새로운 보안 위협이 현실화되면서, 국제표준 마련이 시급하다는 목소리가 제기됐다.
발표자들은 메타버스 보안을 위해 ▲이용자 인증 및 프라이버시 보호 기준 ▲가상환경 보안성 검증 방법 ▲국제 공동 대응 체계 마련이 필요하다고 강조했다. 국내 연구진은 메타버스 보안 표준화 작업에 적극 참여해 한국의 연구 성과를 글로벌 기준으로 확산시키겠다고 밝혔다.
차세대 보안 평가, 신뢰성 확보가 우선
전문가들은 차세대 보안평가가 확산되기 위해서는 풀어야 할 숙제가 적지 않다고 지적한다. 가장 먼저 꼽히는 것은 ’신뢰성 확보’다. 자동화된 평가가 내놓은 결과가 객관적이고 재현 가능한지 입증되지 않는다면 제도적 신뢰를 얻기 어렵다.
다음은 ’규제 정비’다. CC 인증과의 관계를 어떻게 설정할지, 산업별 규제에 어떤 방식으로 적용할지를 명확히 하는 작업이 필요하다. 제도와 기술이 따로 놀 경우 현장에서 혼란이 생길 수 있다는 우려 때문이다.
마지막으로는 ’국내 기업의 역량 강화’ 부분도 거론됐다. ASM, BAS, AI 기반 평가처럼 새롭게 떠오른 기술이 국제표준으로 자리 잡는 과정에서 국산 기술이 반영되도록 글로벌 협력을 확대해야 한다는 것이다. 그래야만 단순한 기술 경쟁을 넘어, 국내 보안산업이 세계 시장에서 입지를 다질 수 있는 중요한 기회로 연결될 수 있다는 설명이다.
윤승환 국민대학교 금융정보보안학과 교수는 “보안평가 표준은 더 이상 사무실·서버 환경에 머물지 않는다”며 “AI, 위성통신, 사물인터넷(IoT), 로봇, 메타버스 등 새로운 환경이 확산되는 만큼 표준도 이에 맞게 개정되고 적용 범위를 넓혀가야 한다”고 조언했다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network
