마이크로소프트 “기존 보안 프레임, 에이전트엔 안 통한다”
Source: Byline Network
“공격자는 이미 AI를 갖고 있습니다. 상대방이 핵무기를 만들면 여러분도 탱크만 갖고 싸울 수 없잖아요. AI를 이용한 방어는 더 이상 선택이 아니라 필수입니다.”
바이라인네트워크가 지난 18일 서울 잠실 롯데호텔에서 개최한 에서 박상준 한국마이크로소프트 시큐리티 GTM 리드가 청중에게 던진 화두다. 그는 이날 AI와 에이전트 시대에 보안 패러다임이 어떻게 바뀌어야 하는지, 그리고 마이크로소프트가 이를 어떻게 지원하는지 설명했다.
발표는 AI 기반 취약점 스캐닝 툴의 급격한 성능 향상으로 시작됐다. 박 리드는 앤트로픽의 미토스, 오픈AI의 GPT-5.5, 마이크로소프트의 MDASH를 소개했다. 모두 AI를 이용해 취약점을 자동 탐지하고 공격 코드를 생성해 실제 공격 성공률을 측정하는 툴이다.
2024년 12월 딥시크가 처음 등장했을 때 사람 대비 공격 성공률은 약 4~5% 수준이었다. 이후 불과 1년 만에 미토스가 약 80%, GPT-5.5가 비슷한 수준, 마이크로소프트의 MDASH는 88.4%까지 끌어올렸다. 박 리드는 “1년 만에 사람 수준의 90%까지 왔다면 1년 뒤에는 어떤 모습일지 생각해봐야 한다”고 강조했다.
그는 최근 공격 트렌드로 개별 취약점을 익스플로잇하는 방식에서 낮은 위험도의 취약점 여러 개를 묶어 연쇄 공격하는 방식으로 변화하고 있다는 점도 짚었다. 이런 복합 취약점 연결 공격이야말로 AI가 가장 잘하는 일이라는 설명이다.
박 리드는 AI 전환이 단순한 생산성 향상을 넘어 비즈니스 구조 자체를 바꾸는 ‘프론티어 트랜스포메이션(Frontier Transformation)’ 단계에 들어섰다고 진단했다. 조직 리더의 82%가 향후 12~18개월 이내에 에이전트를 도입할 계획이라는 조사 결과도 전했다.
문제는 보안이다. 지금까지 보안은 직원의 계정 보호, 데이터 보호, 단말기 보호가 중심이었다. 그런데 에이전트는 자율적으로 움직이며 사람의 역할을 보조하거나 대신한다. 에이전트도 계정이 있고, 데이터를 처리하고, 공격의 대상이 될 수 있다. 그는 “대부분의 기업이 사람에 대한 보안 프레임은 갖추고 있어도 에이전트에 대한 프레임은 아직 없다”며 이 공백을 메우는 것이 시급하다고 말했다.
그가 제시한 AI·에이전트 환경의 위협은 크게 세 계층으로 나뉜다. 첫 번째는 사용자 계층으로, 섀도우 IT나 검증되지 않은 서드파티 LLM 앱 사용, 민감 정보 노출 등이 위험 요소다. 두 번째는 에이전트·애플리케이션 계층으로, 프롬프트 인젝션, 의도 위반, 비정상 행동, 안전하지 않은 MCP(LLM에 연결하는 프로토콜) 서버 연동, 데이터 과다 공유 등이 해당된다. 세 번째는 AI 플랫폼·모델 계층으로, 학습 데이터 포이즈닝이나 모델 도용 같은 공격이 여기에 속한다.
마이크로소프트의 대응 솔루션은 ‘에이전트 365’다. 사람에 대한 보안을 마이크로소프트 365로 제공해왔고, 에이전트에 대한 보안은 에이전트 365로 제공하겠다는 취지다.
그에 따르면 에이전트 365가 커버하는 영역은 네 가지다.
첫째, 에이전트 ID 및 접근 통제다. 에이전트를 등록하고 관리하며, 에이전트가 어디서 어떤 리소스에 접근하는지 조건에 따라 통제한다. 사람에게 적용하던 조건부 액세스 정책을 에이전트에도 그대로 적용할 수 있다. 예를 들어 에이전트가 자주 가지 않는 위치에서 갑자기 동작하거나 탈옥 시도가 감지되면 접근을 차단하는 방식이다. 마이크로소프트 에이전트뿐만 아니라 서드파티 에이전트도 등록·관리가 가능하다.
둘째, 데이터 과다 공유 및 유출 방지다. 에이전트가 처리하는 데이터에 민감도 레이블을 붙이고, DLP(데이터 유출 방지) 정책을 적용한다. 에이전트의 이상 동작을 AI로 탐지하는 내부자 위험 관리 기능까지 포함한다. 박 리드는 “원본 소스가 1급 비밀이라면 에이전트가 산출한 결과물도 1급 비밀로 보호돼야 한다”며 데이터 보호의 연속성 개념을 강조했다.
셋째, AI 위협 및 취약성 방어다. AI 자산 전반의 가시성을 확보하고, MCP 서버·오케스트레이터·모델·데이터셋에 대한 취약점을 탐지·수정한다. 멀티 클라우드 환경에서 AI 관련 공격을 실시간으로 모니터링하고 위협 신호를 사건과 연결해 맥락화하는 기능도 포함된다.
넷째, 규정 준수다. 전 세계 50개 이상 국가에서 AI 관련 법규가 생겨나는 상황에서, 한국의 AI 기본법을 포함한 각국 규정에 대한 컴플라이언스 점검을 지원한다. ISO 42001, NIST AI 리스크 관리 프레임워크, EU AI법 등 글로벌 표준도 커버한다. 박 리드는 “마이크로소프트는 AI 혁신과 규제는 반대되는 것이 아니라 함께 발전해야 한다고 본다”고 말했다.
박 리드는 “AI와 에이전트에 대한 신뢰는 ‘우리를 믿어달라’는 선언으로 쌓이지 않는다”면서 “일관된 보안, 투명성, 통제를 통해서만 AI와 에이전트에 대한 보호가 가능하다”고 강조했다.
글. 바이라인네트워크
일명 심스키. 바이라인네트워크 공동대표 기자. 테크 전문가 인터뷰와 칼럼을 주로 씁니다. 테크가 우리 삶에 미치는 긍정적 부정적 영향을 설명하고자 합니다.