(출처=앤트로픽)

KISA, 앤트로픽 글래스윙 여파에 기업 보안점검 요청…“AI 기반 보안 체계 필요”

By곽중희

인공지능(AI) 기업 앤트로픽이 지난 22일 ‘프로젝트 글래스윙(Project Glasswing)’의 첫 성과를 발표한 후 정부가 국내 기업에 사이버 보안 점검과 대비태세 강화를 요청했다. AI가 소프트웨어 취약점을 대규모로 찾아내는 단계에 들어서면서, 기업도 기존의 수동 점검 중심 보안 체계를 재정비해야 한다는 취지다.

한국인터넷진흥원(KISA)은 지난 25일 보호나라·KrCERT 홈페이지를 통해 ‘AI 기반 사이버 위협 확대 우려에 따른 보안 점검 및 대비태세 강화 요청’ 안내문을 게시했다. KISA는 최근 프론티어 AI 모델을 활용한 보안 취약점 발견이 급속도로 증가하면서 이를 악용한 사이버 공격 우려가 커지고 있다고 설명했다.

이번 안내는 앤트로픽이 미국시간 22일 공개한 ‘프로젝트 글래스윙: 초기 업데이트’가 직접적인 계기가 됐다. KISA는 앤트로픽 발표를 인용해 프로젝트 참여 기업의 주요 소프트웨어에서 고위험 취약점이 1만건 이상 발견됐고, 오픈소스 소프트웨어에서도 6200여개의 고위험 취약점이 발견됐다고 밝혔다.

프로젝트 글래스윙은 앤트로픽이 자사 AI 모델 ‘클로드 미토스 프리뷰(Claude Mythos Preview)’를 활용해 주요 소프트웨어와 오픈소스 생태계의 취약점을 찾고 보완하기 위해 추진 중인 사이버보안 프로젝트다. 앤트로픽은 초기 업데이트에서 AI가 취약점을 찾는 속도가 빨라지면서, 이제 보안의 병목이 취약점 ‘발견’이 아니라 이를 검증하고 공개하며 패치하는 과정으로 옮겨가고 있다고 평가했다.

“취약점 탐지 체계 재점검해야”

KISA는 기업에 세 가지 대응을 우선 요청했다. 먼저는 ‘사내 보안 취약점 탐지 시스템을 다시 점검하고 보완하는 것’이다. AI를 활용한 취약점 탐색이 빨라지는 만큼 기업 내부에서도 취약점 식별과 패치 우선순위 판단 체계를 정비해야 한다는 의미다.

다음은 ‘보안관제 고도화’다. KISA는 외부 이상 트래픽 탐지와 차단 체계를 강화해 사이버 공격에 대비해야 한다고 강조했다. AI 기반 공격은 단기간에 여러 취약점을 탐색하고 공격 경로를 조합할 수 있어, 관제 체계도 더 빠른 탐지와 대응을 전제로 운영돼야 한다.

마지막은 앞서 안내된 ‘AI 기반 사이버공격 대비 기업 대응 요령’과 ‘AI 기반 사이버공격 대비를 위한 CEO 행동 수칙’을 기업별 상황에 맞춰 반영하는 것이다. KISA는 지난 7일 관련 대응 요령과 CEO 행동 수칙을 배포한 바 있으며, 이번 25일 안내를 통해 이를 다시 공유했다.

AI 방어·제로트러스트·SBOM 관리 강조

KISA가 제시한 기업 대응 요령의 핵심은 기존의 수동·주기적 보안 운영을 AI 기반의 상시 탐지·평가·대응 체계로 바꾸는 데 있다. 취약점 관리, 패치, 정기점검, 로그 분석 등 보안 업무를 사람이 주기적으로 수행하는 방식에서 벗어나, 취약점과 침입을 실시간으로 탐지하고 필요할 경우 긴급 패치·차단·설정 변경까지 가능한 자동 운영체계를 검토하라는 내용이다.

오픈소스 관리도 주요 과제로 제시됐다. KISA는 기업이 사용 중인 오픈소스 목록, 소프트웨어 자재명세서(SBOM)을 작성해 라이브러리와 프레임워크, 종속성 현황을 파악하고, 취약점 데이터베이스와 대조해 잠재 위협을 식별해야 한다고 안내했다. 공개 취약점이 포함된 오픈소스 사용을 자동 차단할 수 있도록 소프트웨어 구성 분석(SCA) 도구 도입도 권고했다.

제로트러스트 전환도 포함됐다. KISA는 경계 중심 보안만으로는 기업의 핵심 자산과 데이터를 보호하기 어렵다고 보고, 강화된 인증, 마이크로 세그멘테이션, 소프트웨어 정의 경계 등 제로트러스트 원칙을 적용해야 한다고 설명했다. 기업 내 기기와 사용자, 네트워크, 시스템, 애플리케이션, 데이터를 목록화하고 현재 보안 수준을 진단한 뒤 단계적으로 전환해야 한다는 것이다.

다만 자동화된 보안 체계가 실제 서비스 시스템에 미치는 영향을 사전에 분석하고 시뮬레이션해야 한다는 단서도 붙었다. 자동 패치나 차단, 설정 변경이 예기치 못한 서비스 장애로 이어질 수 있기 때문이다.

CEO에게도 직접 행동 수칙 제시

이번 안내에서 눈에 띄는 대목은 CEO와 경영진의 역할을 별도로 강조했다는 점이다. KISA의 CEO 행동 수칙은 정보보호를 CISO 혼자 맡는 업무가 아니라 경영진과 이사회가 다뤄야 할 핵심 안건으로 규정한다.

수칙에는 CISO에게 정보보호 예산 편성권과 인력 관리 권한을 부여하고, CISO와 핫라인을 구축해 사이버 위협 현황과 대응 전략을 수시로 보고받으라는 내용이 담겼다. IT 부서장 등 주요 인력이 참여하는 정보보호위원회를 설치해 기업의 보안 전략을 지속적으로 점검하라는 권고도 포함됐다.

또 기업의 정보보호 전략 목표를 ‘완벽한 차단’에서 ‘신속한 회복’으로 전환해야 한다고 강조했다. AI 기반 공격 환경에서는 모든 침해를 사전에 막는 데만 초점을 맞추기보다, 사고 발생 이후 비즈니스 중단을 얼마나 빠르게 줄이고 정상화할 수 있는지가 경영 역량의 일부가 된다는 의미다.

KISA는 앞으로 과학기술정보통신부와 함께 AI 기반 사이버 보안 위협에 대한 대응체계를 강화하고, 기업에 필요한 안내와 지원을 지속하겠다고 밝혔다. 기업에도 국민이 신뢰할 수 있는 사이버 보안 환경을 구축할 수 있도록 보안 점검과 대비태세 강화에 적극 임해달라고 요청했다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network

일간 바이라인 구독하기

곽중희

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.

[무료 웨비나] IdentityTV 2026: 아이덴티티 보안의 미래를 지금 확인하세요.

일시 : 2026년 7월 9일 (목) 14:00 ~ 15:40