168 읽음
소프트캠프 AI 보안 4원칙 추적, 통제, 인증, 검증
IT조선
1
소프트캠프가 인공지능(AI) 에이전트 시대 보안의 핵심 원칙으로 추적·통제·인증·검증을 제시했다. 생성형 AI와 AI 에이전트 활용을 막기보다, 데이터가 어디서 만들어지고 누가 어떤 권한으로 다루는지 관리하는 체계가 필요하다는 메시지다.

소프트캠프는 2일 서울 여의도 페어몬트 앰배서더 서울 그랜드볼룸에서 ‘소프트캠프 솔루션데이 2026(SOFTCAMP SOLUTION DAY 2026)’을 개최하고 이 같은 전략을 밝혔다. 올해 행사의 주제는 ‘AI는 허용, 통제는 필수 : AI 에이전트 시대의 새로운 보안 패러다임’이다.
배환국 소프트캠프 대표는 이날 기조연설에서 AI 시대 보안의 질문이 달라져야 한다고 짚었다. 그는 “기존 보안이 허용과 차단, 내부망과 외부망 같은 구분에 머물렀다면, 앞으로는 데이터의 성격과 출처, 사용자 권한, AI와 에이전트의 접근 범위를 함께 봐야 한다”고 설명했다.

그러면서 배 대표는 AI 시대 보안 원칙을 추적(Trace), 통제(Control), 인증(Authenticate), 검증(Verify) 4개 축으로 정리했다. 데이터 생성과 이동을 추적하고, 생성형 AI로 향하는 기밀 유출을 통제하며, 사람과 AI 에이전트 신원을 인증하고, 소프트웨어(SW) 공급망 전 주기를 검증하는 구조다.

챗GPT나 클로드 같은 생성형 AI 사용이 늘어나고 있다. 배 대표는 기업의 보안 고민에 대해 접속 차단보다 입력을 ‘통제’하는 것이 핵심이라고 짚었다. 이와 관련해 소프트캠프는 제로 트러스트 기반 웹 격리(RBI) 보안 서비스 ‘실드게이트(SHIELD Gate)’를 통해 생성형 AI 입력 행위를 통제하는 ‘입력단 프롬프트 방화벽’ 개념을 제시하고 있다. 사용자가 프롬프트나 파일을 AI에 보내기 전 민감정보, 개인정보, 기밀문서, 등급 데이터 포함 여부를 검사하고 필요하면 마스킹·승인·차단을 적용하는 방식이다.

공공분야에서는 국가망보안체계(N2SF) 대응 문제도 빼놓을 수 없다. 소프트캠프는 출처 기반 등급 관리 솔루션 ‘인포디스커버리(InfoDiscovery)’를 제시한다. 문서가 어떤 업무 시스템에서 생성·다운로드됐는지, 어떤 사용자와 경로를 거쳐 이동했는지를 포렌식 기술로 확인한다. 4개 축 중 ‘추적’과 관련한 솔루션이다. 이후 ‘실드게이트’가 해당 등급에 따라 AI 입력, 서비스형 소프트웨어(SaaS) 업로드, 외부 공유 같은 행위를 통제한다.

소프트캠프는 빠르게 늘어나는 AI 에이전트에 대한 보안 대응도 시작했다. 배환국 대표는 “AI 에이전트가 저장소에 접근하고, SaaS를 호출하고, 애플리케이션 프로그래밍 인터페이스(API)를 사용하는 만큼 사람처럼 신원과 권한, 격리, 감사 체계가 필요하다”며 “개인 접근 토큰(PAT), 시크릿 키, API 토큰, 공개인증(OAuth) 권한이 AI 에이전트에 부여되면 새로운 내부 사용자로 관리해야 한다”고 설명했다.

배 대표는 이를 겨냥해 출시한 ‘소프트캠프 AI 시큐리티 스위트(SOFTCAMP AI Security Suites·SAISS)’를 소개했다. SAISS는 AI와 에이전트의 접근·통신·데이터 사용을 통제하는 ‘실드 에이아이 게이트웨이(SHIELD AI Gateway)’, 에이전트 실행 환경을 격리하는 ‘실드 에이전트 샌드박스(SHIELD Agent Sandbox)’, 사람과 에이전트의 신원·권한·인증 체계를 관리하는 ‘실드 아이디(SHIELD ID)’로 구성된다.

그 외 신규 솔루션 2종도 공개됐다. ‘시큐리티365 컴플라이언스 스튜디오(Security365 Compliance Studio)’는 마이크로소프트 365(Microsoft 365)의 계정, 공유, 정보보호, 감사 로그 등 분산된 점검 항목을 한 화면에서 확인하고 한국형 보안 컴플라이언스 충족 여부를 진단하는 가시성 플랫폼이다. ‘실드 에이아이 게이트웨이’는 외부 AI 사용을 넘어 내부 AI 에이전트 호출을 관리해 AI가 어떤 도구를 쓰고 어떤 행위를 할 수 있는지 보안 정책으로 결정하도록 돕는다.

배 대표는 “AI를 쓰지 말라는 시대는 이미 지났다”며 “이제 보안의 역할은 AI 활용을 막는 것이 아니라, 무엇을 누가 어떤 권한으로 다루는지 추적하고 통제해 안전하게 허용하는 것”이라고 말했다.

정종길 기자

jk2@chosunbiz.com
0 / 300