2025년 09월 03일

에이전틱 AI 시대, 사이버 보안의 새 과제

Tech

Share

by

에이전틱 AI 시대, 전통적 보안 모델의 한계와 새로운 사이버 보안 과제

기업들은 소프트웨어 개발, 고객 지원 자동화, 로보틱 프로세스 자동화(RPA) 등 다양한 분야에서 에이전틱 AI를 적극적으로 도입하고 있습니다. 하지만 이러한 추세는 기존 보안 모델로는 감당하기 어려운 새로운 사이버 보안 위협을 야기하고 있습니다. 시스코 탈로스는 2025년 위협 행위자가 AI를 악용할 수 있다고 경고하며, 인간의 개입 없이 목표를 달성하는 자율형 AI 시스템이 보안에 취약한 기업을 위험에 빠뜨릴 수 있다고 밝혔습니다. 이제 기업은 에이전틱 AI의 사이버 보안 위험을 이해하고, 이를 해결하기 위한 노력을 기울여야 합니다.

에이전틱 AI, 새로운 유형의 사이버 위험을 불러오다

PwC의 션 조이스는 에이전틱 AI가 기존 AI 모델과는 달리 자율적으로 행동하고 결정을 내리며, 다른 시스템과 상호작용하며 행동을 적응시킬 수 있다고 설명합니다. 이러한 특성은 효율성과 자동화를 높이지만, 동시에 새로운 유형의 사이버 위험을 초래합니다. 보안 책임자는 이러한 신흥 위험을 이해하고 완화하여 안전하고 책임 있는 AI 도입을 위한 핵심 역할을 수행해야 합니다.

가시성 부족과 섀도우 AI의 확산

에이전틱 AI는 보안 및 IT 부서의 감독 없이 팀이나 개인 사용자가 자율적으로 배치할 수 있어 '섀도우 AI 에이전트'를 양산할 위험이 있습니다. 이러한 에이전트는 인증과 같은 통제 장치 없이 작동하며, 그 행위와 행동을 추적하기 어렵습니다. 이는 취약점을 유발하고 심각한 보안 위험을 초래할 수 있습니다. CM 로의 리나 리히터마이어는 가시성 부족이 보안 위험, 거버넌스 및 규제 준수 문제, 운영 위험, 투명성 부족으로 인한 신뢰 상실 등 다양한 위험을 초래한다고 지적합니다.

자유 에이전트, 자율성이 키우는 위험

에이전틱 AI는 인간의 개입 없이 스스로 판단하고 행동하는 자율성을 지닙니다. 하지만 이러한 자율성은 기업에 사이버 보안 취약성을 초래할 수 있습니다. 목표가 불분명하거나 모호할 경우, 에이전트는 기업의 보안이나 윤리 기준에 맞지 않는 방식으로 행동할 수 있습니다. 베어리스데브의 파블로 리볼디는 강력한 거버넌스가 없다면 자율성이 곧 위험이 된다고 경고합니다.

의도치 않은 데이터 공유의 결과

다중 에이전트 시스템은 AI 에이전트가 서로 상호작용하고 데이터를 공유하면서 보안, 프라이버시 및 의도치 않은 결과와 관련된 위험을 초래할 수 있습니다. AI 에이전트가 계약상 또는 엄격히 규제되는 민감한 정보에 접근하고 처리하여 무단 사용이나 공개가 발생할 경우, 기업에 잠재적 법적 책임을 만들 수 있습니다. 노스웨스트 AI의 와이어트 메이햄은 다중 에이전트 구성을 도입하는 순간 조정 위험이 발생한다고 설명합니다.

서드파티 통합, 공급망 위험 가속화

에이전트는 API를 통해 서드파티 파트너의 애플리케이션과 통합 및 데이터 공유를 할 수 있으며, 이는 보안 책임자에게 또 다른 과제를 안깁니다. 다양한 서비스와 공급업체와의 통합은 악용이나 취약점 노출 가능성을 키웁니다. 리볼디는 에이전틱 AI가 API와 외부 통합에 크게 의존하며, 에이전트가 더 많은 시스템에 접근할수록 그 행위는 점점 더 복잡해지고 예측 불가능해진다고 말합니다. 이는 공급망 위험을 야기하며, 서드파티 서비스의 취약점이 다른 플랫폼과의 에이전틱 상호작용을 통해 악용되거나 무심코 촉발될 수 있습니다.

다단계 공격, 오류와 악용의 경계 흐리기

에이전틱 시스템은 다단계 공격을 수행하거나, 보안 도구의 탐지를 피하며 제한된 데이터 시스템에 접근할 새로운 방법을 찾을 잠재력이 있습니다. 리볼디는 에이전틱 시스템이 고도화됨에 따라, 의도치 않게 다단계 공격을 모방하는 행위를 학습하거나 개발할 수 있다고 지적합니다. 또한 목표 지향적 행동이 회피를 보상하기 때문에 전통적 탐지 방법을 우회하는 방법을 무심코 발견할 수도 있습니다. 결국 오류와 악용의 경계가 흐려져 보안 팀은 사건의 성격을 명확히 판별하기 힘들게 됩니다.

새로운 패러다임에는 새로운 방어 모델 필요

에이전틱 AI는 강력한 새로운 모델이지만, 근본적으로 다른 사이버 보안 도전 과제를 제시합니다. 자율성, 적응성, 상호 연결성은 생산성을 배가시키는 동시에 잠재적 공격 벡터가 되기도 합니다. 보안 책임자에게 기존 보안 모델은 더 이상 충분하지 않습니다. 실시간 가시성 및 텔레메트리, 엄격히 범위가 설정된 거버넌스 정책, 보안 설계 기반 개발 관행, 보안, IT, 데이터 관리, 규제 준수 팀 간의 교차 기능 협력 등 견고한 에이전틱 AI 방어 전략이 필요합니다.

결론

에이전틱 AI는 기업에게 혁신적인 기회를 제공하지만, 동시에 새로운 사이버 보안 위협을 제기합니다. 기업은 기존 보안 모델의 한계를 인식하고, 에이전틱 AI에 특화된 보안 전략을 수립해야 합니다. 선제적이고 다층적인 보안 접근법을 채택하고 처음부터 거버넌스를 내재화함으로써, 에이전틱 AI가 제공하는 가능성을 안전하게 활용하면서 그 위험을 최소화할 수 있습니다.

이것도 좋아하실 수 있습니다...