AI가 취약점 쏟아내는 시대…태니엄, ‘자율 패치’ 전략 전면에
Source: Byline Network
“이제 보안의 핵심은 AI가 찾아낸 대량의 취약점을 조직에서 얼마나 빨리 검증하고 패치하느냐에 달려 있습니다.”
강두원 태니엄코리아 이사는 9일 서울 강남구 아셈타워에서 열린 ‘포스트 미토스 시대의 태니엄 자율형 IT 전략 기자간담회’에서 인공지능(AI) 확산 이후 보안 운영의 병목이 취약점 탐지에서 검증과 패치로 이동하고 있다고 강조했다. 이날 태니엄은 AI가 취약점 탐지와 익스플로잇 제작 속도를 높이는 환경에 대응하기 위한 자율 패치 관리 중심의 자율형 IT 전략을 발표했다.
과거에는 보안 전문가가 취약점을 분석하고 익스플로잇을 만드는 데 수일에서 수주가 걸렸다. 태니엄은 AI가 이 과정을 수시간 단위로 줄이고 있다고 봤다. 공격자가 빨라진 만큼 방어자도 취약점 공지 확인, 영향 자산 파악, 승인, 배포, 결과 확인으로 이어지는 기존 업무 흐름을 바꿔야 한다는 것이다.
박영선 태니엄코리아 대표는 “포스트 미토스 시대에는 어제 들었던 정보가 오늘 낡은 정보가 되는 변화를 체감하고 있다”며 “태니엄은 이런 변화에 맞춰 자산 식별, AI 통제, 자율 패치를 중심으로 AI 전략을 전개하고 있다”고 말했다.
AI가 찾은 취약점, 어떻게 빠르고** 안전하게 고칠 것인가**
태니엄은 지난달 앤트로픽(Anthropic)이 공개한 프로젝트 글래스윙(Project Glasswing) 초기 성과에서 포스트 미토스 시대의 보안 병목을 짚었다. 글래스윙은 앤트로픽이 클로드 미토스 프리뷰(Claude Mythos Preview)를 활용해 주요 소프트웨어와 오픈소스의 취약점을 찾고, 이를 방어 목적으로 공유하기 위해 추진하는 프로젝트다.
클로드 미토스 프리뷰는 앤트로픽의 비공개 프런티어 AI 모델이다. 프런티어 AI는 현재 공개된 범용 AI보다 높은 추론 능력을 가진 최상위권 모델을 뜻한다. 태니엄은 AI가 취약점 탐색의 속도와 규모를 바꾸면, 기업 보안 운영의 병목도 함께 바뀐다는 점에 주목했다.
태니엄은 먼저 ‘취약점이 급증한 점’에 주목했다. 앤트로픽은 초기 50여개 파트너사의 제품에서 심각도 높은 취약점 1만건 이상을 찾았다. 오픈소스 영역에서는 1000개가 넘는 프로젝트를 스캔해 2만3019건의 후보 취약점을 찾았다. 외부 검증기관이 검토한 취약점의 유효성은 90.6%로 나타났다. 태니엄은 이 수치가 AI 기반 취약점 탐색이 실험 단계를 넘어 실제 소프트웨어 공급망에 영향을 줄 수 있음을 보여준다고 분석했다.
다음으로 태니엄이 주목한 지점은 ‘패치 병목’이다. AI가 취약점을 빠르게 찾아도 사람이 검토하고, 소프트웨어 개발자가 수정하고, 사용 기업이 배포하는 과정은 같은 속도로 빨라지지 않는다. 태니엄은 오픈소스에서 찾은 후보 취약점 2만3019건 가운데 패치 완료로 집계된 사례가 97건이라고 설명했다. 전체 대비 약 0.4%다. 발견 속도와 조치 속도 사이의 간극이 커질수록 공격자가 악용할 수 있는 시간이 길어진다는 뜻이다.
김도현 태니엄코리아 이사는 파이어폭스 사례를 들어 이 변화를 설명했다. 그는 “모질라 파이어폭스는 지난해 1월부터 올해 1월까지 보안 관련 버그가 한 달 평균 20개 남짓 발견됐지만, 올해 4월에는 423개로 늘었다”며 “이 가운데 271개가 미토스를 통해 발견된 취약점”이라고 말했다.
마지막은 ‘이 흐름이 일회성에 그치지 않는다는 점’이다. 태니엄은 미토스가 보여준 취약점 탐색 능력이 다른 AI 모델로도 확산될 수 있다고 봤다. 프런티어 AI에서 시작한 기능이 오픈소스 모델과 다른 상용 모델로 옮겨가면, 취약점을 찾는 주체는 더 늘어난다. 방어 목적의 발견뿐 아니라 공격 목적의 탐색도 함께 늘어날 수 있다.
김 이사는 “가까운 미래에는 하루에 수백건 또는 수천건의 취약점이 발표되고, 그만큼 많은 패치가 나올 수 있다”며 “공격자는 취약점 발표와 패치 배포 사이의 시간차를 이용하기 때문에 기업은 이 간격을 줄이는 아키텍처와 거버넌스를 갖춰야 한다”고 말했다.
이어 그는 “포스트 미토스 시대의 경쟁력은 취약점을 누가 더 많이 찾느냐에만 있지 않다”며 “조직이 자기 자산을 얼마나 빨리 식별하고, 위험도를 판단하고, 패치를 검증해 배포할 수 있느냐에 달려 있다”고 강조했다.
김도현 태니엄코리아 이사가 9일 열린 포스트 미토스 시대의 태니엄 자율형 IT 전략 기자간담회에서 발표하고 있다. (출처=태니엄코리아)
‘정책 기반의 자율 패치’가 필요하다
태니엄은 이 간극을 줄이려면 기업 보안 운영이 자산 식별, 위험 판단, 패치 배포, 결과 검증까지 하나의 흐름으로 움직여야 한다고 봤다. 사람이 모든 단계를 직접 확인하고 승인하는 방식으로는 AI가 만든 취약점과 패치의 속도를 따라가기 어렵다는 판단이다.
그래서 태니엄이 제시한 대응책은 ‘정책 기반의 자율 패치’다. 다만 단순히 패치를 자동으로 빨리 배포하자는 의미는 아니다. 태니엄은 속도만 높이면 업무 시스템 장애, 패치 안정성 문제, 검증 공백, 규제 대응 문제가 커질 수 있다고 봤다.
기존 보안 운영은 취약점 공지 확인, 담당자 확인, 영향 자산 파악, 변경 요청, 승인, 패치 계획 수립, 배포, 결과 확인 순서로 움직인다. 이 과정마다 사람이 개입한다. 공격자는 AI로 취약점 분석과 익스플로잇 제작을 자동화하는데, 방어자는 여전히 수동 보고와 승인 절차에 묶여 있다는 게 태니엄의 문제의식이다.
강두원 태니엄코리아 이사는 “속도를 높이는 것만 정답은 아니다”며 “정책 주도하에 자동화해야 한다”고 말했다. 그는 “사람은 실행자가 아니라 정책을 정의하는 아키텍트가 돼야 하고, 실행은 시스템이 해야 한다”며 “그 결과가 제대로 조치됐는지도 실시간으로 확인할 수 있어야 한다”고 강조했다.
태니엄은 자율 패치의 판단 기준으로 세 가지를 제시했다. 첫째는 ‘자산 중요도’다. 해당 장비가 인터넷에 노출돼 있는지, 내부 핵심 업무 시스템인지, 일반 단말인지에 따라 대응 방식이 달라져야 한다. 다음은 ‘위험도 평가’다. 단순히 점수가 높은 취약점인지보다 실제 공격에 쓰이고 있는지를 봐야 한다. 마지막은 ‘패치 신뢰도’다. 패치 파일이 안정적인지, 배포 뒤 장애 가능성은 어느 정도인지 확인해야 한다.
태니엄은 이 세 기준을 정책으로 묶어 시스템이 정책 기반으로 자율적으로 실행하도록 해야 한다고 설명했다. 예를 들어 인터넷에 노출된 서버에서 실제 공격에 쓰이는 취약점이 발견됐고 패치 신뢰도가 높다면 즉시 조치한다. 반대로 업무 영향도가 큰 시스템이거나 패치 안정성이 낮다면 단계별 검증을 거쳐 배포한다.
**자율 패치의 현실적 조건은 **‘검증’
태니엄이 제시한 자율 패치가 잘 이뤄지기 위한 중요한 조건이 있다. 바로 ‘검증’이다. 태니엄은 패치가 설치됐는지만 보는 방식으로는 충분하지 않다고 봤다. 중요한 것은 해당 취약점이 실제 기업 환경에서 사라졌는지 확인하는 일이다.
강 이사는 “패치됐다는 사실만으로는 충분하지 않다”며 “그 취약점이 우리 환경에서 사라졌는지, 위험이 배제됐는지가 중요하다”고 말했다.
패치 자동화에 대한 현장의 우려도 있다. 패치를 서둘렀다가 시스템 장애가 나면 보안 담당자와 IT 운영자가 책임을 떠안을 수 있다. 기업이 패치를 늦추는 이유도 단순한 태만이 아니라 서비스 중단, 업무 영향, 책임 문제와 맞물려 있다.
강두원 태니엄코리아 이사가 9일 열린 포스트 미토스 시대의 태니엄 자율형 IT 전략 기자간담회에서 발표하고 있다. (출처=태니엄코리아)
태니엄은 이를 줄이기 위해 ‘링 배포(Ring Deployment)’ 방식을 제시했다. 먼저 소수 장비에 패치를 적용해 성공률과 이상 여부를 확인하고, 이후 10대, 50대, 100대 단위로 넓혀가는 방식이다. 서버처럼 민감도가 높은 자산은 중요도 평가를 거쳐 별도 정책을 적용할 수 있다고 설명했다.
강 이사는 “시스템 민감도, 취약점 위험도, 패치 파일 안전성을 함께 보고 정책으로 묶어 배포해야 한다”며 “각 기업이 자기 환경에 맞는 정책을 만들어야 한다”고 말했다.
태니엄은 자율 패치 관리를 단일 제품명보다 여러 기능을 묶은 운영 개념에 가깝게 설명했다. 핵심은 정책 기반 의사결정, 조건부 자율 실행, 실시간 검증, 지속적 위협 노출 관리(CTEM)다. CTEM은 기업이 외부에 노출된 자산과 취약점을 계속 찾아 우선순위를 정하고 줄여나가는 운영 방식이다.
**ASK·스포트라이트·아틀라스, **자율형 IT로 연결
태니엄이 최근 내놓은 AI 기능과 솔루션도 이 자율형 IT 전략 안에 놓인다. 이는 자산을 확인하고, 미관리 AI를 통제하며, 정책에 따라 조치를 실행하는 하나의 운영 구조로 봐야 한다는 게 회사측 설명이다.
첫 단계는 ‘자산을 아는 것’이다. 태니엄 애스크(Tanium Ask)는 운영자가 자연어로 질문하면 기업의 엔드포인트 데이터를 바탕으로 답을 찾아주는 기능이다. 엔드포인트는 임직원 PC, 노트북, 서버처럼 기업망에 연결돼 업무와 보안 관리의 대상이 되는 장비를 뜻한다.
보안 업데이트 장애나 대형 취약점이 발생했을 때 운영자는 “우리 회사에서 영향을 받는 장비가 몇 대인가”, “임원 PC나 고객 업무용 단말도 포함됐는가”, “패치가 안 된 장비는 어디에 있는가”를 물을 수 있다. 태니엄은 ASK가 이런 질문에 답하고, 필요한 조치까지 연결하는 AI 경험이라고 설명했다.
박 대표는 로그4j(Log4j) 사태를 예로 들었다. 로그4j는 자바 기반 프로그램에서 로그를 남기는 데 쓰이는 오픈소스 라이브러리다. 2021년 말 원격 코드 실행 취약점이 공개되면서 전 세계 기업이 영향을 받았다. 당시 기업들은 자체 개발 프로그램, 외부에서 산 소프트웨어, 장비 내부 구성요소, 오픈소스 라이브러리 안에 로그4j가 어디에 포함됐는지 찾는 데 어려움을 겪었다.
그는 “로그4j의 가장 큰 문제는 우리 회사의 어디에 숨어 있는지 모른다는 점이었다”며 “태니엄 애스크가 있다면 어떤 오픈소스 보안 이슈나 취약점이 있을 때 우리 회사에 영향이 있는 자산을 실시간으로 찾을 수 있다”고 말했다.
두 번째는 ‘AI 사용 현황을 보이게 하는 것’이다. 가디언 스포트라이트(Guardian Spotlight)는 기업 내부에서 쓰이는 AI 도구와 미관리 AI 에이전트를 식별하고 통제하는 데 초점을 맞춘다. 태니엄은 이를 섀도우 AI(Shadow AI) 거버넌스의 시작으로 설명했다. 섀도우 AI는 기업이 공식적으로 승인하거나 관리하지 않는 AI 도구를 직원이나 부서가 사용하는 현상이다.
과거에는 승인받지 않은 클라우드 서비스나 업무용 앱을 쓰는 섀도우 IT가 문제였다. 이제는 챗봇, 코드 생성 AI, 문서 요약 AI, 자동화 에이전트가 새로운 관리 대상이 됐다. 기업 내부에서 어떤 AI가 쓰이고, 어떤 데이터와 연결되는지 모르면 기밀정보 유출과 규제 위반 위험을 파악할 수 없다.
태니엄은 2023년 삼성전자 챗GPT 사용 논란을 예로 들었다. 당시 일부 직원이 반도체 설비 관련 소스코드, 결함 코드, 회의록 등을 외부 생성형 AI에 입력한 사례가 알려졌다. 기업 데이터가 외부 AI 서비스에 올라가면 회수하기 어렵고, 민감 정보 유출 위험도 생긴다.
박 대표는 “가이드라인이나 관리 체계가 없는 상황에서는 직원들이 어떤 AI를 써서 어떤 기밀정보와 민감정보를 외부에 올리고 있는지 알 수 없다”며 “최근 큰 화두는 섀도우 AI를 어떻게 관리할 것이냐”라고 말했다.
세 번째는 ‘의도를 실행으로 바꾸는 것’이다. 태니엄 아틀라스(Tanium Atlas)는 사용자의 목표를 받아 실행 계획과 결과로 연결하는 자율형 IT 운영 체계에 가깝다. 애스크가 질문에 답하는 AI라면, 아틀라스는 “무엇을 해 달라”는 사용자의 의도를 실제 조치로 옮기는 역할을 맡는다.
예를 들어 운영자가 “심각한 취약점이 발견됐는데, 패치가 적용되지 않은 엔드포인트를 업무망에서 격리하고, 주말 동안 패치와 검증을 끝낸 뒤 다시 복귀시켜 달라”고 입력한다고 가정해 보자. 태니엄은 아틀라스가 전체 엔드포인트를 조사하고, 패치 적용 여부를 확인하고, 격리 대상과 배포 순서를 정하고, 결과를 검증하는 방향으로 개발되고 있다고 설명했다.
태니엄은 아틀라스에 ‘엠비언트 AI(Ambient AI) 개념’도 적용하고 있다. 엠비언트 AI는 사용자가 묻기 전에 시스템 상태를 계속 관찰하고 이상 징후를 먼저 제안하는 AI다. 기존의 에이전틱 AI가 요청대로 답하고 업무를 수행하는 방식이었다면, 엠비언트 AI는 기업 환경을 24시간 살피며 먼저 위험을 알려주는 방향에 가깝다.
포스트 미토스 시대**, 결국 첫 단추는**** ****‘자산 파악’****과 **‘패치’
태니엄은 국내 기업들이 포스트 미토스 시대를 의식하고 있지만, 무엇을 먼저 해야 하는지에 대해서는 아직 정리가 부족하다고 봤다. 마이크로세그멘테이션, AI 기반 탐지, 즉각 대응 등 다양한 메시지가 쏟아지고 있지만, 첫 단계는 다시 기본으로 돌아가는 것이라는 설명이다.
강 이사는 “기업들은 포스트 미토스에 대한 숙제는 갖고 있지만, 무엇을 왜 해야 하는지는 아직 정리되지 않았다”며 “자산 관리와 패치 관리가 안 되면 그다음 단계로 넘어가도 계속 공격당할 수밖에 없다”고 말했다.
이어 “사람의 속도로는 AI를 이길 수 없다”며 “정책 기반의 절제된 속도를 바탕으로 자율 패치 관리 체계를 만들어야 한다”고 강조했다.
글. 바이라인네트워크