박찬암 스틸리언 대표 “AI 시대의 보안 위협, 실행 권한·API 통제가 핵심”

“많은 사고 조사 현장에서 봐온 결과, AI 시대 보안 위협의 핵심은 ‘실행 권한 통제’와 ‘API 관리’에 있었습니다.”

박찬암 스틸리언 대표는 26일 서울 서초구 aT센터에서 열린 ‘미토스 AI 시대, 개인정보보호 규제 컴플라이언스’ 세미나에서 ‘미토스 AI 시대의 정보보안 위기와 대응’을 주제로 발표하며, 인공지능(AI) 에이전트가 가진 실행 권한과 애플리케이션 프로그래밍 인터페이스(API)를 함께 통제해야 한다고 강조했다.

AI가 무엇을 할 수 있는지부터 확인해야

박 대표는 AI 시대의 보안 위협을 크게 세 가지로 구분했다. 첫째는 공격자가 AI를 이용해 피싱이나 악성코드 제작, 취약점 탐색을 자동화하는 경우다. 둘째는 기업이 도입한 AI 서비스 자체를 공격하는 경우다. 마지막은 AI에 부여된 권한을 빼앗아 내부 시스템에서 명령을 실행하는 경우다. 그는 이 중에 AI의 ‘실행 권한’을 악용하는 위협을 가장 주의해야 한다고 봤다.

예를 들어 AI 에이전트가 사내 문서를 분류하려면 문서를 읽을 권한이 필요하다. 메일을 보내려면 메일 시스템을 사용할 권한을 받아야 한다. 주문이나 결제를 처리한다면 고객정보와 업무 시스템에도 접근할 수 있다.

공격자가 AI 에이전트에 악성 명령을 전달하거나 에이전트를 장악하면 이 권한을 그대로 사용할 수 있다. 문서 정리를 위해 받은 읽기 권한이 정보 유출로 이어지고, 업무 자동화를 위해 받은 실행 권한이 임의 명령 수행으로 이어질 수도 있다.

따라서 기업은 AI 에이전트를 도입하기 전에 어떤 데이터와 시스템에 접근하는지 확인해야 한다. 업무에 필요하지 않은 권한을 제거하고 읽기, 수정, 삭제, 외부 전송 권한을 나눠 부여해야 한다. 권한을 한 번 부여한 뒤 방치해서도 안 된다. 조직과 담당 업무가 바뀌면 접근권한을 다시 점검하고, 사용하지 않는 계정과 권한은 회수해야 한다.

“AI 에이전트에서는 API 해킹이 가장 큰 위협”

AI 에이전트의 실행 권한은 대부분 API를 통해 실제 행동으로 이어진다.

API는 서로 다른 프로그램이 데이터와 기능을 주고받도록 연결하는 통로다. 대다수의 AI는 메일을 보내거나 고객정보를 조회할 때 직접 프로그램 화면을 조작하는 대신 해당 기능을 제공하는 API를 호출하는 방식으로 작동한다.

박 대표는 “지금껏 현장에서 살펴본 결과 AI 에이전트에서는 API 해킹이 가장 큰 위협이었다”며 “AI가 주문하거나 메일을 보내는 행위도 모두 API를 통해 이뤄진다”고 말했다.

API 보안이 허술하면 AI 모델 자체에 문제가 없어도 사고가 발생할 수 있다. 박 대표는 ▲입력값 조작 ▲인증 이후의 권한검증 누락 ▲내부 API 노출 등을 주요 위험으로 꼽았다.

‘입력값 조작’은 API 요청에 포함된 사용자 번호나 문서 번호를 바꿔 다른 사람의 정보에 접근하는 공격이다. 시스템이 요청자의 권한을 확인하지 않으면 번호만 바꿔도 다른 이용자의 개인정보나 계좌, 문서를 조회할 수 있다.

박 대표는 “입력값 조작은 정말 간단한 방법이지만, 생각보다 많은 기업의 시스템에서 이런 입력값 조작만으로도 많은 정보를 알 수 있었다”고 설명했다.

처음 로그인할 때는 이용자의 신원을 엄격하게 확인하면서 이후 API 요청에서는 권한을 다시 검사하지 않는 경우도 있다. 공격자는 정상적으로 발급된 계정이나 접근 토큰을 확보한 뒤 허용되지 않은 정보까지 조회할 수 있다. 접근 토큰은 API를 호출하는 주체와 권한을 증명하는 전자 자격증명이다. 토큰에 과도한 권한을 부여하거나 유효기간을 길게 설정하면 탈취됐을 때 피해가 커진다.

데이터베이스 명령어를 입력값에 넣는 SQL 인젝션, 서버가 공격자가 지정한 주소로 요청을 보내도록 조작하는 서버 측 요청 위조(SSRF), 외부에 공개해서는 안 될 내부 API 노출도 점검해야 한다. 이를 위해 기업은 AI 에이전트가 호출하는 API 목록을 먼저 파악해야 한다. 각 API가 어떤 정보를 읽고 바꿀 수 있는지 확인하고, 업무에 필요한 최소 권한만 토큰에 부여해야 한다.

박 대표는 “API를 호출할 때마다 이용자와 에이전트의 권한을 다시 확인하고 호출 주체, 시간, 요청 내용, 처리 결과를 기록할 필요가 있다”며 “일정 시간 사용하지 않은 토큰은 만료시키고 외부 API와 내부 API도 분리해야 한다”고 강조했다.

MCP 연결 전 과정 점검해야

박 대표는 “모델 컨텍스트 프로토콜(MCP)을 통한 연결도 같은 관점에서 살펴야 한다”고 짚었다. MCP는 AI 모델이 외부 데이터와 업무 도구를 연결해 사용할 수 있도록 하는 규격이다.

AI 에이전트는 MCP를 통해 외부 문서를 읽고 메일이나 사내 시스템, 데이터베이스와 연결된다. 연결한 도구가 많아질수록 AI가 수행할 수 있는 업무도 늘지만 공격경로도 함께 넓어진다.

외부 문서에 숨겨진 악성 명령이 AI의 판단에 영향을 줄 수 있다. 도구 설명이 변조되면 AI가 공격자가 의도한 기능을 선택할 가능성도 있다. MCP 서버가 가진 접근 토큰의 권한이 크면 공격자가 내부 시스템 여러 곳으로 이동할 수 있다.

박 대표는 MCP 보안에서 어떤 도구를 연결했는지만 볼 것이 아니라, 해당 도구가 어떤 권한으로 무엇을 실행하는지 확인해야 한다고 강조했다. 외부 문서부터 AI 에이전트, MCP 클라이언트와 서버, API, 내부 시스템까지 이어지는 전체 경로를 점검해야 한다는 것이다.

직원이 개인적으로 설치한 AI 도구도 공격면이 될 수 있다. 일부 도구는 이용자 PC에서 웹서버를 열어 외부 요청을 받는다. 비밀번호나 접근 제한 없이 실행하면 직원 PC가 내부망으로 진입하는 통로가 될 수 있다. 기업은 AI 도구를 시험 목적으로 설치하더라도 보안 검토를 거쳐야 한다. 외부 통신 여부와 열리는 포트, 인증 설정, 접근 가능한 파일과 시스템 범위를 확인할 필요가 있다.

AI 슬롭 현상 심화, 취약점 판단 기준 넓혀야

미토스와 같은 AI 모델은 취약점 탐색 속도를 높였지만, 동시에 보안 담당자들의 판단이 필요한 취약점의 갯수도 빠르게 증가하고 있다.

박 대표는 이에 대해 “‘AI 슬롭(AI slop)’ 현상이 늘어나고 있다. 취약점이 늘어날수록 모두 같은 순서로 고칠 수는 없다”며 “기업은 취약점의 이론적 심각도뿐 아니라 실제 공격에 쓰일 가능성과 외부 노출 여부를 함께 따져야 한다”고 설명했다. AI 슬롭은 AI를 통해 이용해 대량으로 양산되는 저품질의 쓸모없는 콘텐츠를 의미한다.

그는 ▲공통 취약점 등급체계(CVSS) ▲악용 가능성 예측 점수체계(EPSS) ▲알려진 악용 취약점(KEV) 목록 ▲외부 인터넷 노출 여부를 함께 봐야 한다고 강조했다.

CVSS는 취약점의 기술적 특성과 피해 수준을 점수로 나타낸다. EPSS는 해당 취약점이 실제 공격에 악용될 가능성을 예측한다. KEV는 이미 실제 공격에서 악용된 사실을 확인한 취약점을 모은 목록이다. CVSS 점수가 상대적으로 낮더라도 실제 공격에 사용됐거나 외부 인터넷에 노출된 시스템에 존재한다면 조치 순위를 높여야 한다. 반대로 점수가 높아도 외부와 단절된 시험 시스템에 있다면 다른 요소와 함께 위험도를 판단할 수 있다.

박 대표는 발견된 취약점이 기업의 핵심 업무와 연결됐는지도 확인해야 한다고도 덧붙였다. 같은 취약점이라도 고객정보나 결제, 생산시설을 다루는 시스템에 있다면 우선 조치가 필요하기 때문이다. 박 대표는 “이제는 AI로 취약점을 많이 찾는 것보다 어떤 취약점을 먼저 고쳐야 하는지 판단하는 능력이 중요해졌다”고 설명했다.

AI 자동화 공격은 AI로 먼저 걸러내야

AI를 활용한 공격 시도가 늘면서 반복적인 자동화 공격을 먼저 걸러내는 기술도 필요하다.

박 대표는 마우스 이동과 클릭, 키보드 입력 속도 같은 행동을 분석하면 사람처럼 위장한 자동화 도구를 식별하는 데 도움이 된다고 설명했다. 해킹과 정보 수집에 쓰이는 개발자 도구의 실행 여부를 감지하거나 알려진 자동화 공격 도구를 차단하는 방법도 제시했다.

의심스러운 접속에 연산 작업을 요구하는 작업증명(PoW) 방식도 소개했다. 공격 도구가 요청을 반복할 때 연산 비용을 부과해 공격 속도를 늦추는 방식이다. 모든 AI 공격을 완전히 차단하기보다 저비용 자동화 공격을 먼저 줄여 보안 담당자가 중요한 위협을 분석할 시간을 확보해야 한다는 취지다.

다만 박 대표는 AI가 공격과 방어를 모두 자동으로 처리할 수 있다는 기대에는 선을 그었다. 그는 “AI가 넓은 범위를 빠르게 탐색할 수는 있지만, 맥락과 위험을 판단하는 마지막 단계에는 꼭 전문가가 관여해야 한다”고 했다.