AI 기업 깃허브 보안 구멍: API 키 노출과 그 심각성
최근 클라우드 보안 업체 위즈(Wiz)의 충격적인 조사 결과가 발표되었습니다. 주요 민간 AI 기업의 상당수가 깃허브에 API 키와 접근 토큰을 노출했다는 사실입니다. AI 기술의 급속한 발전 뒤에 숨겨진 보안 관리의 허점을 드러내는 중요한 사건입니다. 이번 조사는 AI 산업 전반에 걸쳐 보안 의식과 실천이 얼마나 미흡한지를 보여주는 단적인 예시입니다.
AI 기업, 보안 불감증 심각
위즈의 조사에 따르면, 포브스 선정 'AI 50' 기업의 65%에서 검증된 비밀정보 유출이 발생했습니다. 이는 기업 가치 총 4000억 달러에 달하는 규모입니다. 더욱 심각한 문제는 위즈가 유출 사실을 통보했음에도 불구하고, 절반 가까운 기업이 이에 대한 응답조차 하지 않았다는 점입니다. 이는 많은 AI 기업들이 보안 문제에 대응할 체계적인 시스템을 갖추지 못했음을 시사합니다. 빠른 시장 출시를 우선시하는 분위기 속에서 보안은 뒷전으로 밀려난 현실을 반영합니다.
유출된 정보의 위험성
이번에 유출된 정보는 단순한 데이터가 아닙니다. 비공개 AI 모델, 학습 데이터, 내부 조직 구조 등 민감한 정보에 접근할 수 있는 자격 증명들이 포함되어 있습니다. 이는 공격자가 AI 모델을 탈취하거나, 데이터를 오염시키고, 심지어 기업 내부 시스템에 침투할 수 있는 길을 열어줍니다. 특히 허깅페이스(Hugging Face), 웨이츠앤드바이어시스(Weights & Biases), 랭체인(LangChain)과 같은 주요 AI 플랫폼 관련 정보 유출은 광범위한 파장을 불러올 수 있습니다.
과거의 반복, 더 커진 위험
전문가들은 이번 사태가 AWS S3 버킷 노출과 같은 과거의 클라우드 저장소 구성 오류 문제와 유사하다고 지적합니다. 하지만 그 위험도는 훨씬 커졌습니다. 과거에는 단순한 데이터 노출에 그쳤다면, 이제는 AI 모델, 학습 데이터, 개발 파이프라인 전체가 노출될 수 있습니다. 사이버보안 전문가 수닐 바르키는 속도와 보안의 불균형이 클라우드 구성 오류, 비밀정보 관리 부실 등을 초래했다고 분석합니다.
데브섹옵스(DevSecOps) 격차
보안 업체 수어쉴드(SureShield)의 최고기술책임자 찬드라셰카르 빌루구는 AI 스타트업과 기존 SaaS 기업 간의 데브섹옵스(DevSecOps) 격차를 지적합니다. AI 팀은 빠른 프로토타입 개발에 집중한 나머지, 구성 파일 등 비밀정보를 공개 리포지토리에 보관하는 경우가 많습니다. 또한, 삭제된 분기 리포지토리나 코드 조각 저장소조차 기본적인 보안 점검 없이 방치하는 사례가 많습니다. 이는 깃허브에 API 키와 토큰을 노출하는 행위가 얼마나 위험한 결과를 초래할 수 있는지를 보여줍니다.
API 보안, 필수 투자 항목으로
IDC 아시아태평양 사이버보안 서비스의 선임 리서치 매니저 삭시 그로버는 노출된 API 키가 AI 생태계 전반의 대규모 보안 침해로 확대될 수 있다고 경고합니다. 탈취된 자격 증명은 모델의 동작을 조작하거나 학습 데이터를 추출하는 데 악용될 수 있습니다. 그는 아태지역 기업의 절반 이상(50%)이 CNAPP(Cloud-Native Application Protection Platform) 업체를 선택할 때 API 보안을 핵심 투자 항목으로 고려하고 있다고 밝혔습니다. 이는 노출된 API가 이제 주요 공격 경로로 자리 잡았음을 보여주는 결과입니다.
