AI 시대, 빔의 사이버복원력 전략 ‘AI 거버넌스’
“한국은 AI 기본법과 개인정보보호법에 AI 부분을 법제화한 전세계 두번째 국가다. 여기서 중요한 질문 세가지를 해볼 수 있다. 회사는 어떻게 이런 규제를 준수할 것인가? AI를 활용한 고도의 사이버 공격 증가에 대항해 어떻게 비즈니스를 보호할까? AI를 도입할 때 규제 준수에 대한 책임은 CISO, CIO, 이사회 등 어디에 있을까? 이 질문에 대한 답은 AI 거버넌스다.”
존 제스터 빔소프트웨어 최고매출책임자(CRO)는 25일 빔소프트웨어코리아가 개최한 미디어 브리핑에서 이같이 밝혔다.
존 제스터 CRO는 “기업에 AI가 도입되면서 AI의 위기와 데이터의 위기가 융합되는 현상을 보이고 있다”며 “기업은 자사의 데이터가 어디에 있는 지 정확히 이해하지 못하고, 운영 중인 AI 에이전트가 어떤 권한을 갖고 어떤 일을 하는 지 모르며, AI 에이전트의 행동을 취소시킬 수 있는 권한을 가졌는 지 알지 못하는 상태”라고 설명했다.
제스터 CRO는 AI 시대의 기업 리스크를 설명하는 핵심 키워드로 ‘데이터 신뢰(data trust)’와 ‘복원력(resilience)’을 제시했다. 또한, AI 도입 속도가 빨라질수록 기업은 단순히 데이터를 저장하거나 백업하는 수준을 넘어, 데이터가 어디에 있고, 누가 접근하며, 어떤 방식으로 활용되는지 파악해야 함을 강조했다. 이를 파악해야 문제 발생시 빠르고 정확하게 신뢰 가능한 상태로 복구할 수 있기 때문이다.
그는 국내 기업이 직면한 핵심 위기를 3가지 ‘격차’로 설명했다. 첫째는 ‘가시성 격차(visibility gap)’다. AI는 빠른 속도로 파편화되고 비정형적인 데이터를 만들어내기 때문에, 기업이 데이터 위치와 흐름, 접근 이력을 실시간으로 파악하기 더 어려워지고 있다는 문제의식이다. 둘째는 ‘AI 신뢰 격차(AI trust gap)’다. AI 모델과 에이전트가 활용하는 데이터의 품질, 보안, 거버넌스가 충분히 확보되지 않으면 AI 결과에 대한 신뢰 역시 약해질 수밖에 없다는 설명이다. 셋째는 ‘회복력 격차(resilience gap)’다. 위협은 빠르게 증가하고 있는데, 여전히 많은 기업이 사고 이후 얼마나 빨리 복구할 수 있는지에 대한 체계적 준비가 부족하다는 의미다.
제스터 CRO는 “AI 시대의 데이터 문제는 단순한 저장 문제나 운영 편의성의 문제가 아니라, 보안, 규제, 신뢰, 복구를 모두 포괄하는 경영 리스크”라고 강조했다.
과학기술정보통신부의 2025 연례 보고서에 따르면, 작년 한국에서 발생한 사이버공격은 2383건으로 전년 대비 26% 증가했으며, 그중 60%는 AI를 활용한 공격이었다. 사이버 공격자의 전술이 AI 기반 자동화와 조직화된 공격을 통해 더욱 정교해지는 상황. 기업은 AI를 생산성 혁신 도구로만 보기보다 신규 데이터 리스크를 생성하는 변수로 함께 관리해야 한다.
늘어나는 AI 관련 규제도 기업에서 대응해야 할 문제다. 한국은 지난 1월 전세계에서 처음으로 ‘AI 기본법’을 시행했다. AI 기본법은 고영향 AI 시스템에 투명한 문서화와 위험 평가를 요구한다. 개인정보보호법(PIPA)은 데이터 유출 발생 후 72시간 이내에 당국에 통보할 필요성을 명확히 하고 있다. ISMS-P는 어떤 데이터에 누가 실시간으로 접근하는지 추적할 수 있는 역량을 요구하고, 금융권 규제는 AI 모델에 사용되는 데이터 출처에 대한 검증과 문서화를 요구한다. 제스터 CRO는 이러한 제도 환경을 단순한 법무 또는 컴플라이언스 과제가 아니라, 기업의 데이터 운영 방식 전반을 바꿔야 하는 구조적 변화로 해석했다.
그는 “전세계 정보보호책임자(CISO)의 60%는 어디에 데이터가 분류돼 있는지 가시성 부족을 호소하며, 데이터 카탈로그화에 6-18개월까지 걸려 72시간 이내에 필요한 데이터를 추적하기 어려운 상태라고 지적한다”며 “이런 속도는 AI 시대에 맞지 않는 속도”라고 설명했다.
그는 “대부분의 CISO가 민감 정보에 대한 AI 도구의 접근을 전혀 기록하지 못하고 있고, 클로봇같은 섀도우 AI 도구는 승인 절차를 우회해 기업의 통제를 벗어나는 경우가 많다”며 “AI 거버넌스는 선언적 정책만으로 해결되지 않으며, 실제 운영 데이터를 추적하고 통제할 수 있는 가시성과 복원력 체계가 필요하다”고 강조했다.
그는 현재 기존 방식으로 시스템 보안성 유지하거나 관리하면 미래에 맞지 않는 이유 6가지를 들었다. ▲데이터 증폭 현상 ▲AI 기반 공격 증가 ▲AI 규제 증가 ▲AI 성과 창출의 어려움 ▲데이터 중심 보안의 대두 ▲AI 에이전트 아이덴티티 제어 등이다.
그는 “과거의 경계 기반 보안은 외부에서 내부로 침입을 막는데 중점을 두지만, AI 시대엔 데이터 단에서 보안 성과를 관리하고 접근을 관리해야 한다”며 “아이덴티티도 과거 직원과 사람에 국한했던 것에서 벗어나 AI 에이전트로 확장해야 한다”고 말했다.
그는 “현재의 분기 단위 감사는 AI 발전 속도에 비해 너무 느리고, 현재의 모니터링 체계는 AI 에이전트 활동으로 인한 오류를 복원할 방법도 없다”고 지적했다.
빔소프트웨어는 이같은 상황을 해결할 방안으로 AI 거버넌스를 위한 솔루션 ‘에이전트 커맨더’를 제시했다. 빔소프트웨어의 에이전트 커맨더는 작년 인수한 시큐리티AI 기술과 빔 솔루션을 결합해 출시된 신제품이다.
그는 “시큐리티AI에 빔의 데이터와 복원력을 융합해 AI 에이전트에 거버넌스를 적용하고 모니터링하며, 이슈 발생 시 AI 에이전트의 행동을 취소할 수 있는 솔루션”이라고 설명했다.
AI는 수천개 파일을 몇분 만에 수정할 수 있으며, 오작동하는 AI 시스템은 부지불식 간에 기록을 손상시키거나 데이터를 덮어쓰거나, 민감 정보를 외부로 유출할 수 있다. AI 에이전트를 탐지하고, 다른 비즈니스 로직에서 격리하며, 원하지 않는 AI 에이전트의 실행을 취소할 수 있어야 한다. 빔소프트웨어 에이전트 커맨더는 이같은 니즈를 충족한다.
에이전트 커맨더는 단순히 사고를 탐지하거나 사후 복구하는 수준을 넘어, 기업이 AI의 실수를 보다 정밀하게 되돌리고 실제로 어떤 일이 일어났는지 이해하며, 수정이 필요한 부분만 바로잡을 수 있도록 하는 방향으로 제시됐다.
빔 소프트웨어는 에이전트 커맨더를 기반으로 자사의 데이터 복원력 기능인 백업, 복구, 이식성, 보안, 인텔리전스에 더해, 시큐리티AI의 데이터 명령 그래프와 에이전트 AI 기능 결합을 소개했다. 발표는 이를 통해 AI 에이전트가 기계 속도와 규모로 데이터에 대응하는 환경에서 발생할 수 있는 핵심 리스크, 즉 AI 에이전트 오류, 규정 준수 위반, 민감 데이터 유출, 데이터 침해에 보다 체계적으로 대응할 수 있다고 설명했다. 또한 에이전트 커맨더는 광범위한 AI 규정 준수, 퍼블릭 클라우드에서의 안전한 맞춤형 에이전트 구축, 기업용 SaaS 에이전트의 안전한 도입, 섀도우 AI 리스크에 대한 가시성 확보 같은 사용 시나리오를 지원한다.
제스터 CRO는 “에이전트 커맨더는 운영 환경 내 모든 AI 에이전트의 인벤토리를 탐지하게 하고, 운용되는 에이전트를 이해하고 어느 거버넌스를 적용하는지 보게 한다”며 “보호 기능은 데이터를 정확히 분류해 보안성을 강화하고, AI 에이전트에 아이덴티티를 부여해 권한 관리를 하게 한다”고 말했다.
그는 “AI 에이전트가 읽기, 쓰기, 삭제, 수정 등 데이터 액션에 어떤 권한을 갖고, 어떤 임팩트를 만들어내는 지 이해할 수 있으며, 이전 상태로 롤백할 수 있다”고 덧붙였다.
빔소프트웨어는 작년 9월부터 마이크로소프트와 협력해 한국 내에서 ‘빔 데이터 클라우드(볼트)’를 제공하고 있다. 한국 내 기업의 데이터 인프라를 빔의 한국 내 리전에 둘 수 있다.
그는 “기업은 빔과 에이전트 커맨더를 통해 거버넌스가 적용되고 원하지 않을 때 되돌릴 수 있다는 확신을 갖고 AI를 쓸 수 있게 된다”고 강조했다.
글. 바이라인네트워크
<김우용 기자>yong2@byline.network



