💡 스타트업·투자 💰 지원사업 🚀 K-Startup 🏦 정책자금 🏛 나라장터 📰 보도자료 📋 정책뉴스
💡 스타트업·투자
[VS현장] AWS 자율 침투 테스트 정식 출시…”방어도 머신 스피드로”

[VS현장] AWS 자율 침투 테스트 정식 출시…”방어도 머신 스피드로”

AWS는 7월 1일 서울에서 'AWS Security 101' 기자간담회를 열고, 사람 화이트해커처럼 24시간 자율로 모의해킹을 수행하는 'AWS 시큐리티 에이전트'와 고성능 AI 시대의 보안 전략을 공유했다. 신은수 AWS 코리아 수석 PSA는 AI가 취약점 발견과 ... The post [VS현장] AWS 자율 침투 테스트 정식 출시…”방어도 머신 스피드로” appeared first on 벤처스퀘어.
#스타트업뉴스 #벤처스퀘어

사람 대신 AI 에이전트가 모의 해킹을 수행하는 ‘자율 침투 테스트’가 보안 업계의 현안으로 떠오르고 있다. 지난해 자율 에이전트 ‘XBOW’가 세계 최대 버그바운티 플랫폼 해커원(HackerOne)의 미국 순위 1위에 오르며 주목받은 데 이어, 올해 들어 대형 클라우드 사업자들이 관련 서비스를 정식 출시하면서 기술이 시연 단계를 넘어 실무로 옮겨오고 있다.

아마존웹서비스(AWS)는 7월 1일 서울 AWS 코리아 사무실에서 ‘AWS Security 101’ 기자간담회를 열고, 사람 화이트해커처럼 24시간 자율로 모의해킹을 수행하는 ‘AWS 시큐리티 에이전트’와 고성능 AI 시대의 보안 전략을 공유했다. 발표에는 AWS 코리아 신은수 수석 보안 전문 솔루션즈 아키텍트(PSA)와, 이 서비스를 실제 도입한 LG CNS 레드팀 이진욱 팀장이 나섰다.

고성능 AI가 취약점 발견과 익스플로잇 제작을 자동화하면서 공격 속도는 빨라졌지만, 패치에는 여전히 수 주가 걸린다. 방어를 공격과 같은 속도로 끌어올려야 한다는 것이 이날 발표의 문제의식이었다. AWS는 자율 침투 테스트 기능을 지난 3월 말 정식 출시했고, LG CNS는 이를 도입해 그룹사로 확산하고 있다. 이진욱 팀장이 공개한 정탐률은 최대 90%. 다만 이진욱 팀장은 이 수치에서 미탐(놓친 취약점)은 제외했다는 단서를 함께 밝혔다.

AWS 코리아 신은수 수석 보안전문 솔루션즈 아키텍트(PSA)
공격의 시간표가 바뀌었다
신은수 PSA는 고성능 AI가 바꾼 것을 ‘시간에 대한 관념’이라고 진단했다. 과거에는 취약점을 찾는 일도, 실제 공격에 쓸 익스플로잇을 만드는 일도 소수 전문가의 오랜 작업이었지만, 이제는 누구나 접근할 수 있는 모델로 손쉽게 가능해졌다는 것이다.

신은수 PSA는 이 변화를 규모·속도·접근성 세 축으로 정리했다. 취약점을 찾는 주체가 전문가 집단에서 AI로 넓어지면서 한 조직이 감당해야 할 취약점의 수 자체가 급증하고(규모), 발견에 걸리는 시간이 짧아지며(속도), 고위험 공격의 진입 장벽이 낮아졌다는(접근성) 설명이다.

신은수 PSA에 따르면 2026년 들어 다수의 프론티어 AI 연구소가 제로데이 취약점 탐지부터 익스플로잇 생성, 수정 제안까지 수행하는 모델을 내놨다. 최근 벤치마크에서는 익스플로잇 성공률이 최대 87%에 달해, 보안 전문가의 취약점 리뷰 시간이 수 주에서 수 시간으로 줄었다는 것이 신은수 PSA의 설명이다.

취약점 발견부터 익스플로잇까지 걸리는 평균 시간은 2018년 2.3년에서 2024년 5일, 2026년 약 20시간으로 줄었고, 반면 패치 적용에는 여전히 평균 32~38일이 걸린다. 공격 속도와 방어 속도의 격차가 벌어지면서, 월 단위 정기 점검과 패치라는 관행, 그리고 그 위에 설계된 규정 준수·위험 관리 체계가 더 이상 실제 위험을 담아내지 못한다는 것이 신은수 PSA의 진단이다. 신은수 PSA는 AI 관련 사고를 겪은 조직의 97%가 적절한 접근 통제를 갖추지 못했고, 기술 전문가의 96%가 AI 기반 보안 리스크 증가에 동의했다는 조사 결과도 덧붙였다.

“방어도 머신 스피드로”…다층 방어와 자율 에이전트
AWS의 대응은 두 갈래로 제시됐다. 하나는 AWS 자체 인프라를 지키는 다층 방어다. 신은수 PSA는 확률에 기대는 생성형 AI와 달리 수학적으로 증명 가능한 보안 기술인 ‘자동 추론(Automated Reasoning)’이 여러 AWS 보안 서비스에 내장돼, 정책이나 네트워크 구성이 안전한지를 추정이 아닌 검증으로 확인한다고 설명했다.

규모도 강조했다. 신은수 PSA에 따르면 AWS는 하루 400조 건의 네트워크 플로우를 분석하고, 위협 탐지 서비스 ‘가드듀티’는 2025년 하반기 기준 시간당 평균 8.8조 건의 이벤트를 모니터링한다. 내부 위협 인텔리전스 시스템인 매드팟(MadPot)·미스라(Mithra)·소나리스(Sonaris)를 통해 고객이 개입하지 않아도, 심지어 대상이 AWS 고객이 아니어도 악성 활동을 선제적으로 탐지·차단한다는 것이다.

다른 하나는 ‘머신 스피드’ 방어, 즉 AWS 시큐리티 에이전트와 상위 플랫폼 AWS 컨티뉴엄(Continuum)이다. 시큐리티 에이전트는 사람 침투 테스터처럼 대상 시스템을 자율적으로 공격해 취약점을 찾고, 별도의 검증 에이전트가 샌드박스에서 코드를 실제로 실행해 정탐과 오탐을 가려낸다. 여기에 교정 에이전트가 수정안까지 제시했다.

신은수 PSA는 컨티뉴엄이 우선순위·검증·교정 에이전트를 결합해 발견부터 조치까지 전 주기를 자동화하며, 사람이 개입하는 ‘학습 모드’에서 자동화 범위를 넓히는 ‘적용 모드’로 단계적으로 이행한다고 설명했다. 실제 사례로는 일본 SaaS 보안 기업 헨지(HENNGE)가 소개하며 자율 침투 테스트를 도입해 보안 검증 기간을 90% 이상 단축하고, 주 단위로 걸리던 점검을 시간 단위로 압축했다고 전했다.

(왼쪽부터)AWS 코리아 신은수 수석 보안전문 솔루션즈 아키텍트(PSA), LG CNS RED팀 이진욱 팀장
LG CNS “빠르고 저렴하지만, 사람은 여전히 필요”
LG CNS RED팀 이진욱 팀장의 사례 발표에서는 현실적인 도입 배경에 대해 설명했다.  잇따른 대형 보안 사고와 AX(AI 전환) 프로젝트 확산, AI 모델 성능 발전으로 점검 수요는 늘어나는데, 화이트해커 인력은 한정돼 있다는 것이다. LG CNS는 2024년 말 개발 영역에 AI를 본격 도입한 뒤 2025년 보안 영역으로 검토를 넓혔고, 2025년 말부터 AI 기반 침투 테스트 도구를 검토해 시큐리티 에이전트를 도입했다.

이진욱 팀장은 기존 방식과 견줘 장점을 속도·전문성·비용·통합 네 가지로 꼽았다. 패턴 기반 자동 점검 도구(DAST)는 오탐이 많아 사람이 다시 확인해야 하고, 전문가 수동 점검은 정확하지만 비용과 기간이 크다. AI 기반 방식은 에이전트가 화이트해커처럼 취약점을 찾고 자체 검증으로 오탐을 줄이며, 판단 근거를 함께 제시해 결과 검증이 쉽다는 것이다. 수치도 공개됐다. 계정 정보만 입력하면 정탐률이 60% 수준이지만, 권한 정보 같은 맥락을 추가로 제공하면 90%까지 올라간다. 전문가 검증을 포함하면 비용은 약 30%, 기간은 5일에서 3일로 약 40% 줄고, 에이전트 단독으로 수행하면 비용 70%, 기간은 5일에서 1일로 80%까지 절감된다는 것이 LG CNS의 자체 측정치다.

이진욱 팀장은 한계도 감추지 않았다. 90%라는 정탐률에는 미탐을 통계에서 제외했다는 단서가 붙었고, 복잡한 비즈니스 로직 분석은 여전히 사람이 필요하다고 했다. 처음 수행하는 점검에 에이전트 단독 적용은 이르며, 매년 반복하는 점검부터 단독 적용을 검토한다는 실무 판단도 내놨다. LG CNS는 2분기까지 가치 검증(PoV)을 마치고 3분기부터 그룹사로 대상을 넓히고 있다.

보안 조직의 미래를 묻다
AI가 보안 조직을 대체하느냐는 질문에 대해 신은수 PSA는 보안팀이 사라지지는 않겠지만 역할은 바뀌어야 한다고 답했다. 보안팀이 지침을 내리고 다른 조직이 따르는 구조에서 벗어나, 개발팀이 직접 보안 도구를 다루도록 역량을 확산시키는 쪽으로 무게중심이 옮겨 가야 한다는 것이다. 최근 AI 특화 보안 도구들이 보안팀이 아니라 개발팀을 사용 주체로 설계돼 있다는 점을 근거로 들었다.

이진욱 팀장은 화이트해커의 역할이 축소되기보다 두 갈래로 분화할 것으로 내다봤다. 기업 전체를 외부 공격자 관점에서 침투하는 고난도 블랙박스 전문가와, 에이전트가 내놓은 결과를 해석해 개발자에게 전달하는 개발 지향 인력이다. LG CNS 레드팀은 오히려 커지고 있으며, 그룹사들도 자체 레드팀을 꾸리는 사례가 늘고 있다고 전했다.

두 발표자는 모두 도구나 모델은 수단일 뿐, 변화를 만드는 것은 조직 전체가 이를 활용하는 문화와 역량이라고 입모르며 얼마나 뛰어난 사람이 많은가로 팀의 수준을 평가하던 시대에서, AI를 얼마나 잘 활용하는가로 기준이 옮겨가고 있다고 했다.

The post [VS현장] AWS 자율 침투 테스트 정식 출시…”방어도 머신 스피드로” appeared first on 벤처스퀘어.

🔗 원문 공고 바로가기

외부 기관의 공식 페이지로 이동합니다. 최신 정보는 원문을 확인하세요.

← 목록으로
🔗 링크가 복사되었습니다