F5, 멀티클라우드 앱 전송·보안 통합…AI 에이전트까지 관리
F5가 하이브리드 멀티클라우드 환경에 흩어진 애플리케이션의 전송과 보안을 하나의 플랫폼에서 통합하고, AI 모델과 에이전트, 추론 인프라까지 관리 범위를 넓힌다. F5는 23일 서울 강남구 웨스틴 서울 파르나스에서 기자간담회를 열고 ‘F5 애플리케이션 전송·보안 플랫폼(F5 Application Delivery and Security Platform, ADSP)’ 고도화 전략을 발표했다.
F5는 기존 웹 애플리케이션과 애플리케이션 프로그래밍 인터페이스(API), 네트워크 트래픽을 관리해 온 ADSP에 AI 보안과 에이전트 통제 기능을 결합했다. 애플리케이션과 AI 시스템이 어느 환경에서 작동하든 같은 전송·보안 정책을 적용하겠다는 구상이다.
F5 조사에 따르면, 기업의 94%는 하이브리드 멀티클라우드를 운영하고 있다. 기업 한 곳이 애플리케이션을 운영하는 위치는 평균 19곳에 달했다. 데이터센터와 여러 클라우드, 에지로 시스템이 흩어지면서 각 환경에 보안 제품과 운영 정책을 따로 적용해야 하는 복잡성이 커지고 있는 상황이다.
F5가 제시한 ADSP는 애플리케이션이 배치된 위치나 제품 형태에 관계없이 전송과 보안, 운영 정책을 일관되게 적용하는 플랫폼이다. 데이터센터와 퍼블릭·프라이빗 클라우드, 에지, 쿠버네티스, 외부망과 분리된 폐쇄망까지 지원한다.
각 환경에 흩어져 있던 웹 애플리케이션 방화벽(WAF), API 보안, 봇 방어, 분산서비스거부(DDoS) 대응, 부하 분산, 트래픽 관리 기능도 하나의 체계에서 운영한다. F5는 여기에 AI 모델과 에이전트의 사용 현황을 파악하고, 취약점을 점검하며, 운영 중인 공격을 차단하는 기능을 더했다.
쿠나 날라판 F5 아시아태평양·중국·일본 지역 마케팅 부사장은 “하이브리드 멀티클라우드는 일시적인 전환 단계가 아니라 기업의 운영 방식이 됐다”며 “성공적인 아키텍처의 핵심은 하나의 클라우드를 선택하는 것이 아니라 모든 환경에 일관된 통제를 적용하는 것”이라고 말했다.
ADSP 통제 범위, AI 요청 경로로 확대
F5는 사용자가 프롬프트를 입력한 뒤 AI가 답을 생성하기까지의 경로를 ▲프런트 도어 ▲오케스트레이션 ▲추론 등 세 구간으로 나눴다. 각 구간에서 애플리케이션과 API, AI 모델과 에이전트, 추론 인프라에 필요한 전송·보안 정책을 적용한다.
날라판 부사장은 “프런트 도어에서는 프롬프트와 응답 경로, API 요청과 신원을 검사한다”며 “오케스트레이션 단계에서는 에이전트가 실패할 수 있는 지점을 시험하고 데이터 접근에 가드레일을 적용하며, 추론 단계에서는 AI가 실제로 가동되는 환경을 보호하고 확장한다”고 설명했다.
F5 조사에 따르면, 기업의 78%가 자체 환경에서 AI 추론을 실행하고 있었다. 기업 한 곳이 운영하거나 평가하는 AI 모델은 평균 7개였다.
AI 도입이 늘면서 애플리케이션을 사용하는 주체도 달라지고 있다. 기존에는 사람이 화면에서 서비스를 이용했지만, 이제 AI 에이전트가 API에 접속해 데이터를 가져오거나 외부 도구를 호출하고 업무를 수행한다.
날라판 부사장은 “앞으로 애플리케이션의 사용자가 반드시 사람이라는 보장은 없다”며 “소프트웨어가 사용자가 되는 변화에 맞춰 전송과 보안, 신원 확인, 거버넌스를 바라보는 방식도 달라져야 한다”고 강조했다.
이에 따라 보안 대상도 사람의 계정과 애플리케이션에서 AI 에이전트의 신원과 접근 권한, 데이터 호출 경로까지 넓어진다. F5는 이 모든 과정이 여러 클라우드와 데이터센터에 걸쳐 이어지는 만큼 환경마다 다른 제품을 배치하기보다 하나의 정책으로 통제해야 한다고 강조했다.
AI로 변화하는 웹 공격 실시간 분석
첫 번째 통제 지점인 ‘프런트 도어’는 외부 사용자나 AI 에이전트의 요청이 애플리케이션과 API에 처음 도착하는 곳이다. 사용자가 입력한 프롬프트는 AI 모델에 바로 전달되지 않고 웹 애플리케이션과 API를 먼저 거친다.
날라판 부사장은 “프런트 도어는 외부 세계와 시스템이 처음 만나는 지점”이라며 “이곳에 들어오는 주체는 사람만이 아니라 공격 목적의 AI 에이전트일 수도 있다”고 말했다.
F5는 이 구간에서 WAF에 AI 기반 행위 분석 기능을 적용했다. WAF는 웹서비스로 들어오는 공격 요청을 탐지하고 차단하는 보안 제품이다. 기존의 WAF는 알려진 공격의 특징을 정리한 규칙(시그니처)을 중심으로 공격을 탐지했다. 하지만 공격자가 생성형 AI로 새로운 공격 명령과 입력값을 계속 만들면 시그니처 탐지 방식만으로는 대응하기 어렵다는 한계가 있다.
날라판 부사장은 “정적인 규칙만으로는 매 순간 새로운 공격 입력값을 만들어내는 공격자에 대응하기 어렵다”며 “공격자가 실시간으로 공격한다면 방어도 실시간으로 이뤄져야 한다”고 강조했다
F5는 자사 시스템을 거치는 트래픽 데이터로 신경망을 학습해 요청의 행위를 실시간으로 분석한다고 설명했다. 이 기능은 중앙처리장치(CPU)가 수행한다. 별도의 그래픽처리장치(GPU) 없어도 애플리케이션으로 들어오는 트래픽 경로에서 공격 여부를 판단할 수 있다.
F5는 ‘F5 분산 클라우드 웹 애플리케이션 방화벽(F5 Distributed Cloud WAF)’이 시그니처를 갱신하지 않은 상태에서 제로데이 공격 10건을 탐지했다고 밝혔다. 새 시그니처의 오탐률은 약 28%에서 1%로 낮아지고, 별도 설정을 거치지 않은 탐지 정확도는 64%에서 98%로 높아졌다고도 덧붙였다.
날라판 부사장은 “기존에 효과가 있었던 시그니처와 공격 지표를 없앤 것이 아니라 여기에 지능을 더했다”며 “전통적인 WAF와 달리 AI를 AI로 방어할 수 있도록 설계했다”고 설명했다.
추후 F5는 이 AI 기반 탐지 기능을 분산 클라우드 서비스뿐 아니라 빅아이피(BIG-IP)와 엔진엑스(NGINX)를 포함한 ADSP 전반으로 확대할 계획이다. 애플리케이션이 자체 데이터센터와 퍼블릭 클라우드 가운데 어디에 있더라도 같은 위협 분석 기능을 제공하기 위해서다.
섀도우AI 발견부터 에이전트 실행 차단까지
두 번째 통제 지점은 ‘오케스트레이션’이다. 오케스트레이션은 AI가 응답을 하기 위해 내부·외부 API와 데이터베이스를 호출하고 여러 AI 에이전트에 작업을 나눠주는 과정이다.
기업의 AI 서비스는 여러 모델을 결합해서 사용한다. 사용자의 질문과 관련된 내부 자료를 찾고 외부 서비스를 호출한다. 여러 에이전트가 각자 맡은 업무를 수행하기도 한다.
날라판 부사장은 “프롬프트가 모델에 들어갔다가 곧바로 완성된 답으로 돌아오는 경우는 드물다”며 “답을 만들려면 내부·외부 API를 호출하거나 데이터베이스에서 정보를 가져오고, 에이전트와 하위 에이전트를 조정해야 한다. 이 과정이 실제 기업 AI가 구현되는 오케스트레이션”이라고 말했다.
이 과정에서는 AI가 허용되지 않은 데이터에 접근하거나, 에이전트가 주어진 권한을 넘어 행동할 수 있다. 멀티클라우드 환경에서는 데이터와 API, AI 모델이 서로 다른 위치에 존재해 호출 경로를 파악하기도 어렵다.
F5는 이 구간에서 AI 사용 현황을 발견하고 취약점을 검증한 뒤, 운영 중인 공격을 차단하고 방어 정책을 보완하는 순환형 보안 체계를 제시했다.
순환형 보안 체계의 출발점은 조직 안에서 어떤 AI가 사용되는지 파악하는 것이다. 이를 위해 F5는 섀도우AI 탐지 솔루션을 제공하는 ‘슈어패스AI(SurePath AI)’를 인수했다. 슈어패스AI는 조직이 승인하지 않은 생성형 AI 서비스와 AI 에이전트인 섀도우AI를 네트워크에서 찾아낸다. 각 애플리케이션에 별도 기능을 설치하지 않아도 AI 사용 여부와 목적을 분류하고, 에이전트가 호출하는 도구와 서버 연결을 추적한다.
이렇게 확인한 AI 모델과 애플리케이션, 에이전트는 ‘F5 AI 레드팀(F5 AI Red Team)’의 점검 대상이 된다. AI 레드팀은 실제 공격을 모의 실행해 AI 시스템의 취약점과 공격 경로를 찾는다.
운영 단계에서는 ‘F5 AI 가드레일(F5 AI Guardrails)’이 프롬프트와 답변을 검사한다. 프롬프트 삽입 공격과 민감정보 유출, 정책 위반을 차단한다. 에이전트가 허용받은 범위를 넘어 데이터나 외부 도구에 접근하는 상황도 통제한다.
날라판 부사장은 “AI 레드팀은 시스템의 균열을 찾고, AI 가드레일은 그 틈으로 정보가 유출되지 않도록 막는다”고 설명했다.
레드팀이 확인한 공격 경로는 ‘F5 AI 리메디에이트(F5 AI Remediate)’를 거쳐 가드레일 정책으로 전환된다. 이 솔루션은 확인한 취약점을 바탕으로 방어 정책을 만들고, 해당 정책이 공격을 실제로 막는지 검증한다. 운영자가 승인하면 정책을 현장에 적용한다.
날라판 부사장은 “핵심은 AI 애플리케이션의 취약점을 발견하는 데 그치지 않고, 시스템을 더 안전하게 만들기까지 걸리는 시간을 줄이는 것”이라고 말했다.
정리하면, 슈어패스AI가 조직에서 사용하는 섀도우AI를 발견하면 AI 레드팀이 취약점을 시험한다. AI 가드레일은 운영 중인 공격과 정보 유출을 차단하고, AI 리메디에이트는 시험 결과를 다시 방어 정책에 반영한다. 발견과 검증, 차단, 보완을 반복하는 구조다.
이러한 AI 보안 기능은 기존 ADSP의 WAF와 API 보안, 봇 방어, 트래픽 관리 기능과 연결된다. 전통적인 애플리케이션뿐 아니라 AI 모델과 에이전트, 이들을 연결하는 API까지 같은 플랫폼 전략 아래 보호하는 것이 F5가 제시한 방향이다.
F5 AI 보안 플랫폼은 서비스형 소프트웨어(SaaS)뿐 아니라 온프레미스와 프라이빗 클라우드, 폐쇄망에도 배포할 수 있다. 데이터 저장 위치와 외부 전송을 제한해야 하는 금융·공공기관도 같은 정책을 적용할 수 있도록 배포 방식을 넓혔다.

DPU서 전송·보안 처리…토큰 생성 속도 높여
세 번째 통제 지점은 ‘AI 추론 인프라’다. 이 구간에서는 보안과 함께 AI 서비스의 처리 속도와 운영비를 관리한다.
AI 모델은 사용자가 입력한 문장과 모델이 생성한 답변을 ‘토큰’이라는 작은 단위로 나눠 처리한다. 일반 사용자는 토큰을 주로 AI 서비스 이용료를 계산하는 단위로 인식한다. AI 인프라에서는 처리량과 응답시간, 전력 소비, 연산 비용을 측정하는 기준으로도 사용한다.
초당 생성하는 토큰이 많을수록 같은 시간에 더 많은 요청을 처리할 수 있다. 사용자가 질문한 뒤 첫 번째 토큰이 나오기까지 걸리는 시간은 서비스의 체감 속도를 결정한다. 토큰 하나를 만드는 데 필요한 전력과 연산 자원은 AI 서비스 운영비와 연결된다.
날라판 부사장은 “토큰 경제에서는 초당 토큰 수와 첫 토큰 생성 시간, 토큰당 비용, 전체 응답 지연시간, 소비 전력 대비 토큰 수를 함께 최적화해야 한다”며 “AI에서 성능은 곧 경제성의 문제”라고 강조했다.
F5가 말하는 토큰 관리는 토큰의 내용만 직접 통제한다는 것은 아니다. 추론 요청을 처리할 GPU와 모델에 나눠 보내고, 프롬프트와 답변에 보안 정책을 적용해 처리량과 응답시간, 비용 효율을 함께 관리한다는 의미다.
이를 위해 F5는 데이터처리장치(DPU)를 활용한다. DPU는 서버의 네트워크 처리와 암호화, 보안 검사, 부하 분산 작업을 CPU나 GPU 대신 수행하도록 설계한 반도체다. ‘F5 빅아이피 넥스트 포 쿠버네티스(F5 BIG-IP Next for Kubernetes)’는 ‘엔비디아 블루필드-3 DPU(NVIDIA BlueField-3 DPU)’에서 작동한다. 트래픽이 GPU에 도착하기 전에 네트워크 처리와 보안 검사를 수행하고, 처리 여유가 있는 GPU와 모델을 파악해 요청을 나눠 보낸다.
날라판 부사장은 “핵심은 트래픽이 GPU에 도달하기 전에 전송과 보안 작업을 먼저 처리하는 것”이라며 “DPU에서 보안과 부하 분산, 대규모언어모델 라우팅, 운영 가시성 기능을 네트워크 속도에 맞춰 수행한다”고 설명했다.
이 구조에서는 GPU가 네트워크와 트래픽 관리보다 AI 모델의 추론에 더 많은 자원을 쓸 수 있다. 특정 GPU에 요청이 몰리는 현상도 줄인다. F5에 따르면, 톨리그룹이 검증한 한 시험에서는 기존 부하 분산 방식과 비교해 토큰 처리량이 최대 40% 늘었다. 첫 토큰 생성 시간은 61% 단축됐고 전체 요청 지연시간은 34% 줄었다.
F5는 AI 모델을 수정하지 않고 네트워크 처리와 암호화, 부하 분산 작업을 DPU에 맡겨 얻은 결과라고 설명했다. GPU의 처리 상태에 맞춰 요청을 배분해 추론 작업에 더 많은 자원을 쓰도록 했다는 것이다. 날라판 부사장은 “이를 통해 기업은 시간과 처리 용량, 수익성을 한꺼번에 확보할 수 있다”며 “AI 인프라의 경제성을 바꾸는 결과”라고 말했다.
F5는 향후 DPU에 토큰 사용량 집계와 AI 가드레일 기능도 추가할 계획이다. 프롬프트가 애플리케이션에 도착하는 지점부터 AI 모델이 토큰을 생성하는 추론 인프라까지 ADSP의 통제 범위를 넓히려는 전략이다.
국내 금융권 20여곳 제품 검증 논의
F5는 국내에서 금융권을 중심으로 AI 보안 사업을 확대한다. 금융사는 데이터 저장 위치와 외부 AI 서비스 사용, 개인정보 처리에 관한 규제가 다른 산업보다 엄격하다. 여러 클라우드와 자체 데이터센터를 함께 사용하면서도 일관된 정책을 적용할 수 있는 제품 수요가 먼저 나타나고 있다는 설명이다.
이형욱 F5 한국 대표는 “F5 AI 레드팀과 F5 AI 가드레일을 국내에 소개한 뒤 20곳이 넘는 금융 고객이 문의했다”며 “제품 소개와 개념검증(PoC)이 이어지고 있다”고 말했다.
F5는 분산 클라우드 서비스의 국내 접속 거점(PoP)도 개설할 예정이다. 접속 거점은 이용자와 가까운 지역에서 트래픽을 받아 처리하는 시설이다. 통신 지연을 줄이고 국내에서 애플리케이션과 API 보안 서비스를 제공하는 기반이 된다.
이 대표는 “AI 가속화에 따른 보안 위협은 한 지점에서만 막아낼 수 없는 모습으로 변하고 있다”며 “어디에서 운영되는 애플리케이션이든 같은 기준으로 전송하고 보호할 수 있도록 플랫폼을 발전시키고 있다”고 강조했다.
F5는 1996년 설립된 애플리케이션 전송·보안 기업이다. 여러 서버에 트래픽을 분배하는 부하 분산과 애플리케이션 전송 제어기(ADC)를 중심으로 성장했다. 현재는 웹 애플리케이션과 API 보호, 하이브리드 멀티클라우드 운영, AI 모델·에이전트 보안으로 사업 범위를 넓히고 있다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network



