모니터랩 “제로 트러스트, 시행 단계…AI 에이전트까지 통제해야”
Source: Byline Network
“제로 트러스트는 이제 도입 검토를 지나 시행을 고려해야 하는 시기로 나아가고 있습니다.”
박진홍 모니터랩 전임연구원은 18일 서울 잠실 롯데호텔월드 3층 크리스탈볼룸에서 열린 바이라인네트워크 ‘2026 사이버보안 기술 전략 컨퍼런스’에서 최근 제로 트러스트의 도입 흐름을 이같이 진단했다. 모니터랩은 이날 내부 애플리케이션 접근부터 서비스형 소프트웨어(SaaS), 생성형 인공지능(AI), AI 에이전트까지 단계별로 통제하는 제로 트러스트 구축 전략을 제시했다.
박 전임연구원은 ‘실전 제로 트러스트 구축 전략-CASB와 GenAI Security를 중심으로’를 주제로 발표했다. 그는 “제로 트러스트 네트워크 접근(ZTNA)을 기반으로 클라우드 접근 보안 중개(CASB), 생성형 AI 보안, 모델 컨텍스트 프로토콜(MCP) 게이트웨이까지 통제 범위를 넓혀야 한다”고 강조했다.
경계형 보안 한계…정책도 ‘차단’에서 ‘통제’로
박 전임연구원은 기존 경계형 보안을 넓은 들판에 홀로 남은 성채에 비유했다. 과거에는 정보자산이 내부망에 모여 있어 외부와 내부를 가르는 경계를 보호하는 방식이 효과를 냈다. 현재는 데이터와 애플리케이션이 클라우드와 SaaS로 이동했다. 생성형 AI도 업무 도구로 자리 잡으면서 기업 정보가 내부망 밖으로 오가는 경로가 늘었다.
그는 “과거에는 견고한 성채 하나만 있으면 내부 자산을 지킬 수 있었지만, 이제 자산은 성 안이 아니라 외부 들판과 클라우드에 있다”며 “기존 보안 통제만으로 자산을 충분히 지키기 어려운 시대가 됐다”고 설명했다.
정부 정책도 외부 서비스를 일괄 차단하는 방식에서 위험도에 따라 통제하는 방향으로 바뀌고 있다. 국가망보안체계(N2SF)는 국가·공공기관이 업무 중요도와 정보 민감도에 따라 보안 수준을 다르게 적용하도록 한 체계다. 업무 단말에서 외부 SaaS와 생성형 AI를 활용할 수 있도록 하되 사용자 인증, 접근 권한 관리, 데이터 유출 방지 같은 통제를 요구한다.
금융권에서도 망분리 규제가 완화되고 있다. 지난 4월20일부터 일정한 보안 요건을 충족하면 별도의 혁신금융서비스 심사 없이 내부 업무망에서 SaaS를 이용할 수 있다. 다만 고유식별정보나 개인신용정보를 처리하는 SaaS는 적용 대상에서 제외된다.
생성형 AI는 금융 분야 통합 AI 지침이 마련되기 전까지 혁신금융서비스 심사를 거쳐야 한다. 연구개발망은 SaaS와 생성형 AI 활용 범위가 넓은 만큼 접속 기록 관리, 유해 사이트 차단, 데이터 유출 방지, 단말 보안 상태 확인 같은 통제가 필요하다.
ZTNA에서 CASB·생성형 AI 보안으로
박 전임연구원은 정책 변화에 대응하려면 ▲제로 트러스트 네트워크 접근(ZTNA) ▲보안 웹 게이트웨이(SWG) ▲원격 브라우저 격리(RBI) ▲클라우드 접근 보안 중개(CASB)를 함께 적용해야 한다고 설명했다.
제로 트러스트 네트워크 접근은 사용자가 내부망에 접속했다는 이유만으로 신원을 신뢰하지 않는다. 사용자 신원과 단말 상태를 먼저 확인한 뒤 허용된 애플리케이션에만 접속하도록 제한한다.
인증받지 않은 사용자에게는 내부 애플리케이션이 네트워크에 존재하지 않는 것처럼 숨긴다. 사용자 인증을 마친 뒤에도 단말의 보안 상태와 접속 환경을 계속 점검한다. 관리자 기준을 벗어나면 접속을 차단하거나 권한을 회수한다.
사용자와 단말에는 업무 수행에 필요한 최소한의 권한만 부여한다. 내부 자산을 작은 구역으로 나누는 마이크로세그멘테이션을 적용하면 계정이나 서버 하나가 침해됐을 때 공격자가 다른 시스템으로 이동하는 것을 막을 수 있다.
박 전임연구원은 “가상사설망(VPN)은 한 번 인증하면 내부망에 넓은 접근 권한을 부여하는 경우가 많다”며 “제로 트러스트 네트워크 접근은 승인 이후에도 사용자 신원과 단말 상태를 지속해서 확인한다”고 말했다.
외부 웹사이트와 SaaS에 접속하는 구간에는 보안 웹 게이트웨이와 클라우드 접근 보안 중개를 적용할 수 있다. 보안 웹 게이트웨이는 사용자의 웹 통신을 검사해 악성코드와 유해 사이트 접속을 차단한다. 원격 브라우저 격리는 웹 콘텐츠를 사용자 단말이 아닌 별도의 격리 환경에서 실행한 뒤 안전한 화면만 전달한다. 악성코드가 포함된 웹페이지를 열더라도 사용자 단말에서 코드가 직접 실행되지 않는다.
클라우드 접근 보안 중개는 사용자가 어떤 SaaS를 어떤 방식으로 이용하는지 확인하고 통제하는 기술이다. 조직이 승인하지 않은 SaaS를 사용하는 ‘섀도우 IT’을 찾아내고 파일 업로드, 내려받기, 복사, 공유 같은 기능을 세부적으로 제한한다.
기업이 승인한 계정 영역인 테넌트만 허용하는 기능도 제공한다. 업무용 SaaS에 개인 계정으로 접속하거나 승인하지 않은 외부 조직 계정을 이용하는 행위를 차단할 수 있다. 데이터 유출 방지(DLP) 기술과 연계하면 개인정보, 설계도면, 소스코드 같은 중요정보가 외부 SaaS로 빠져나가는 것도 막을 수 있다.
생성형 AI를 통제할 때는 사용자가 입력한 문장 하나만 검사해서는 부족하다. 여러 차례 이어지는 대화의 흐름을 분석해야 사용자의 의도와 정보 유출 위험을 판단할 수 있기 때문이다.
예를 들어 사용자가 첫 질문에서는 일반적인 업무 내용을 묻고, 다음 질문부터 내부정보를 조금씩 입력할 수 있다. 개별 질문만 보면 문제가 없어 보이지만 전체 대화를 연결하면 기밀정보 유출로 이어질 수 있다.
생성형 AI 보안 기술은 프롬프트와 대화 흐름을 실시간으로 분석해야 한다. 파일이나 이미지에 포함된 정보도 검사 대상이다. 승인되지 않은 AI 서비스를 사용하는 ‘섀도우 AI’를 파악하고, 부서와 사용자별로 이용할 수 있는 서비스와 계정도 구분해야 한다.
박 전임연구원은 “AI에 대한 정보 유출은 AI로 방어해야 한다”며 “AI 기반 맥락 탐지 엔진이 대화의 흐름을 이해하고 위협을 식별해야 한다”고 말했다.
모니터랩은 생성형 AI 통제 기능을 3개 영역으로 구분했다. 첫째는 ‘실시간 AI 대화 맥락 감시’다. 여러 차례 이어지는 질문과 답변을 분석해 범죄, 폭력, 프롬프트 공격, 소스코드 유출, 사업전략 유출 같은 위험 유형을 분류한다. 둘째는 프롬프트 ‘데이터 유출 방지’다. 키워드와 정규식으로 개인정보와 중요정보를 탐지하고, 업로드한 파일이나 이미지에 포함된 정보도 검사한다. 마지막은 ‘AI 서비스 통제’다. 조직이 허용한 AI 모델만 사용할 수 있도록 제한하고 사용자와 부서별 권한을 다르게 설정한다. 업무용 계정과 개인 계정을 구분하고 정책에 따라 차단 안내문도 다르게 표시할 수 있다.
AI 에이전트 통제하는 MCP 게이트웨이
AI 에이전트가 외부 시스템과 직접 연결되는 환경에서는 별도의 통제가 필요하다. 모델 컨텍스트 프로토콜(MCP)은 AI 모델이나 에이전트가 외부 데이터베이스, 업무용 애플리케이션, 각종 도구와 연결될 때 사용하는 통신 방식이다. AI 에이전트는 이 연결을 활용해 정보를 조회하거나 파일을 수정하고 외부 서비스에 명령을 실행할 수 있다.
문제는 보안 검토를 거치지 않은 MCP 서버와 도구가 늘어날 수 있다는 점이다. 공격자가 도구 설명이나 기능을 조작하는 ‘도구 오염’이 발생하면 AI 에이전트가 사용자의 의도와 다른 행동을 할 수 있다. 외부 문서나 웹사이트에 숨겨진 악성 지시문이 AI의 행동을 바꾸는 에이전트 탈취 위험도 있다.
조직이 승인하지 않은 MCP 서버를 이용하는 ‘섀도우 MCP’도 관리 대상이다. 인증 기능이 없거나 과도한 권한을 요구하는 MCP 서버에 연결하면 내부정보 유출과 악성코드 실행으로 이어질 수 있다.
모니터랩은 AI 에이전트와 MCP 서버 사이에 MCP 게이트웨이를 배치해야 한다고 했다. MCP 게이트웨이는 조직이 허용한 서버만 연결하도록 화이트리스트를 관리한다. 서버 전체에 권한을 부여하지 않고 도구를 호출할 때마다 필요한 권한만 허용한다.
MCP 서버가 자체 인증 기능을 제공하지 않더라도 게이트웨이에서 사용자 인증과 권한 확인을 강제할 수 있다. 통신 과정에서 오가는 데이터에는 유출 방지 정책을 적용한다. 누가 언제 어떤 MCP 서버에 접속해 어떤 도구를 실행했는지도 기록해야 한다. 이 기록을 바탕으로 비정상적인 도구 호출과 데이터 접근을 찾아낼 수 있다.
박 전임연구원은 제로 트러스트 통제 범위를 내부 애플리케이션, SaaS, 생성형 AI, AI 에이전트 순서로 확장해야 한다고 설명했다.
내부 애플리케이션 접근은 제로 트러스트 네트워크 접근으로 제어하고, SaaS 사용은 클라우드 접근 보안 중개로 관리한다. 생성형 AI의 입력과 출력은 생성형 AI 보안 기술로 검사한다. AI 에이전트의 외부 도구 이용은 MCP 게이트웨이로 통제해야 한다.
“구축형·구독형, 보안 기능 같아야”
구축 방식은 기업 내부에 직접 설치하는 구축형과 클라우드에서 이용하는 구독형으로 나뉜다.
공공기관과 금융회사는 폐쇄망 운영과 내부 통제 요건 때문에 구축형을 선호한다. 해외 지사나 재택근무자가 많고 빠른 배포가 필요한 기업은 구독형 서비스를 선택할 수 있다.
박 전임연구원은 “구축형과 구독형을 함께 사용하는 하이브리드 환경에서는 제공하는 보안 기능에 차이가 없어야 한다”며 “접속 환경이 달라도 동일한 제로 트러스트 정책을 적용해야 한다”고 말했다.
모니터랩은 구축형 제품으로 AIZTNA와 AISWG를 제공한다. AIZTNA는 사용자와 단말의 상태를 계속 확인하고 최소 권한 원칙에 따라 애플리케이션 접근을 제어한다. 단말 보안 상태를 점검하고 독립된 보안 통로를 통해 내부 애플리케이션에 접속하도록 한다. AISWG는 보안 웹 게이트웨이를 기반으로 클라우드 접근 보안 중개, 데이터 유출 방지, 원격 브라우저 격리, 생성형 AI 보안 기능을 통합한다.
구독형 서비스인 아이온클라우드(AIONCLOUD)는 보안 서비스 엣지(SSE)와 제로 트러스트 네트워크 접근 기능을 클라우드에서 제공한다. 보안 서비스 엣지는 웹 보안과 SaaS 통제, 데이터 보호 기능을 사용자와 가까운 클라우드 접속 거점에서 제공하는 구조다.
모니터랩은 아이온클라우드를 15개국 40여개 인터넷 데이터 센터(IDC)에서 운영하고 있다. 회사는 사용자의 위치와 관계없이 같은 접속 정책과 보안 기능을 제공할 수 있다고 설명했다.
개발망부터 금융·교육까지 적용
모니터랩은 개발망과 연구개발망, 대규모 조직, 금융회사, 교육기관에 적용한 사례도 소개했다.
소프트웨어 개발망에는 AISWG와 암호화 통신 가시화 장비를 연계했다. 생성형 AI에 접속하기 전 회사가 허용한 계정과 도메인인지 확인하고 승인하지 않은 개인 계정 접속을 차단했다.
연구개발망에서는 파일 업로드와 생성형 AI 이용을 통제했다. 차단된 기능이 업무에 필요할 때는 사용자가 사유를 선택한 뒤 작업을 계속할 수 있도록 했다. 해당 행위는 기록으로 남겨 관리자가 확인할 수 있다. 대용량 파일 업로드 제한도 적용했다. 설계도면이나 소스코드처럼 용량이 큰 파일이 외부 서비스로 전송되는 것을 파일 크기 기준으로 차단했다.
1만명 이상이 사용하는 조직에는 AI SWG와 원격 브라우저 격리(RBI)를 함께 적용했다. 기존 인사 데이터베이스와 통합인증 체계를 연동하고 사용자별 브라우저 탭 수와 접속 시간을 제한했다.
해외 금융기관 사례에서는 800명 이상의 사용자와 2000여개 내부 자산에 아이온클라우드 제로 트러스트 네트워크 접근을 적용했다. 내부 자산을 작은 단위로 구분하고 사용자별로 접근 권한을 다르게 설정했다.
기존 가상사설망은 해외 사용자의 통신을 본사 데이터센터로 우회시켜 속도 저하가 발생했다. 모니터랩은 아이온클라우드를 적용한 뒤 이러한 백홀 문제를 해소했다고 설명했다. 백홀은 원격 사용자의 통신을 중앙 데이터센터로 우회시키는 구조를 뜻한다.
교육 분야에서는 학생에게 지급한 태블릿에 아이온클라우드 보안 기능을 적용했다. 교육 목적과 관계없는 사이트와 유해 콘텐츠 접근을 차단하고 모든 학습 단말에 같은 웹 보안 정책을 적용했다.
모니터랩은 웹 애플리케이션과 인터넷 접속 구간을 보호하는 보안 기술을 개발하는 기업이다. 구축형 보안 제품과 클라우드 기반 아이온클라우드를 통해 웹 보안, 제로 트러스트 네트워크 접근, SaaS 통제, 생성형 AI 보안 기능을 제공한다.
글. 바이라인네트워크