매뉴얼: AI 보안 위협 대응 매뉴얼 (AI Security Threat Mitigation Manual)
발행처: 과학기술정보통신부 · 한국인터넷진흥원(KISA)
참여기관: SK쉴더스 EQST Lab · 중앙대학교 산업보안학과 TrustworthyAI Lab (지도교수: 김호기)
매뉴얼 내려받기: KISA 공지사항
오늘 7월 8일, 정보보호의 날을 맞아 저희 TrustworthyAI 연구실이 한국인터넷진흥원(KISA), SK쉴더스와 공동 제작한 「AI 보안 위협 대응 매뉴얼」이 배포되었습니다.
이번 매뉴얼은 과학기술정보통신부·한국인터넷진흥원이 발행하고, SK쉴더스 EQST Lab과 중앙대학교 산업보안학과 TrustworthyAI Lab(지도교수 김호기)이 참여기관으로 제작에 참여했습니다. 실제 현장에서 바로 활용할 수 있는 체크리스트와 역할, 대응 체계를 중심으로 구성하여 조직의 AI 보안 대응 역량을 높이는 데 초점을 맞췄습니다. 급격히 확산되는 AI 기술과 함께 새롭게 등장하는 보안 위협에 대해, 조직이 무엇을 점검하고 누가 어떻게 대응해야 하는지를 실무 관점에서 담았습니다.
앞으로도 저희 연구실은 산업계와 공공 분야의 AI 보안 대응 역량 강화를 위해 실효성 있는 연구와 가이드라인 개발을 지속해 나가겠습니다.
📰 아래 내용은 이투데이 기사입니다.
AI 서비스 확산으로 프롬프트 인젝션과 데이터 유출 등 새로운 보안 위협이 늘어나는 가운데 정부가 공격자 관점에서 취약점을 진단하고 대응하는 AI 보안 가이드를 마련했다.
과학기술정보통신부는 한국인터넷진흥원(KISA)과 AI 서비스 보안 위협 대응 역량을 강화하기 위해 ‘AI 보안 위협 대응 매뉴얼’과 ‘AI 보안 레드티밍 가이드’를 발간했다고 8일 밝혔다.
최근 AI 기술이 다양한 산업과 서비스에 빠르게 확산되면서 프롬프트 인젝션과 권한 오남용, 데이터 유출 등 새로운 보안 위협도 증가하고 있다. 과기정통부는 기존 정보보호 체계만으로 대응하기 어려운 AI 보안 특성을 고려해 실제 공격자 관점에서 취약점을 찾아 대응하는 AI 레드팀 운영 기준을 마련했다.
‘AI 보안 위협 대응 매뉴얼’에는 데이터와 모델, 에이전트, 공급망, 고성능 모델 등 AI 보안 위협 분류 체계와 금융, 의료, 공공·행정, 교육, 제조·에너지, 통신, 법률, IT 등 8개 분야별 위협 시나리오와 대응 방안이 담겼다. 경영진에게는 주요 위험 사례를, 실무자에게는 AI 보안 위협 진단과 대응 기준을 제시한다.
‘AI 보안 레드티밍 가이드’는 AI 레드팀 기획과 구성부터 준비, 수행, 결과 보고까지 전 과정을 담았다. 체크리스트와 점검 도구, 직무기술서도 포함했다. 국제표준안인 ISO/IEC 42119-7을 반영해 현장 활용성과 국제 호환성을 높였다.
과기정통부는 AI 에이전트 확산으로 새로운 보안 위협이 증가하는 만큼 이번 가이드가 AI 서비스를 개발·운영하는 기업과 AI 보안 전문기업 등에서 폭넓게 활용될 것으로 기대했다.
임정규 과기정통부 정보보호네트워크정책관은 “AI 기술 확산과 함께 보안 위협도 빠르게 진화하고 있다”며 “이번 가이드가 AI 서비스 보안 수준을 높이는 실질적인 기준이 되기를 기대한다”고 말했다. 이어 “AI 보안 레드팀 사업을 통해 공격 시나리오와 적용 분야를 지속적으로 확대하고 최신 AI 기술을 반영해 검증 체계를 고도화하겠다”고 밝혔다.
관련 링크