AI 기술이 다양한 산업 분야에서 혁신을 이끌면서, 그 이면에는 전례 없는 보안 위협이 빠르게 대두되고 있다. 방대한 데이터를 생성·활용하는 인공지능 시스템과 수많은 기기가 연결된 AIoT(AI+IoT) 환경은 기존 보안 체계로는 감당하기 어려운 새로운 취약점을 노출한다. 데이터 유출, 디바이스 인증 취약점, 생성형 AI 악용 등은 AI 시대의 새로운 위협으로 떠올랐으며, 기업의 신뢰와 경쟁력을 확보하기 위해서는 이에 대한 대비책이 반드시 필요하게 되었다.

제로 트러스트(Zero Trust) 보안 모델과 매터(Matter) IoT 인증은 이러한 위험에 맞서기 위한 중요한 보안 전략이다. 본 칼럼에서는 AI 및 AIoT 환경에서 나타나는 주요 보안 위협과 이에 대응하기 위한 제로 트러스트 및 매터 중심의 전략을 살펴보고자 한다.

1. AI 기술 발전과 함께 증가하는 주요 보안 위협 사례

- 데이터 유출 위험: AI 플랫폼과 외부 시스템을 연동하는 과정에서 민감한 데이터가 유출될 가능성이 높아지고 있다. 실제로 2023년 국내 한 기업에서는 직원이 내부 보고서를 요약하기 위해 외부 생성형 AI 서비스를 사용했다, 회사 핵심 기술의 기밀 정보가 외부 AI 서버로 전송되는 사고가 발생했다. 이러한 부주의한 AI 활용은 기업 핵심 정보가 새어 나가는 새로운 유출 경로가 되고 있다. (출처: 이코노미스트)

- AIoT 환경의 인증 취약점: AI와 IoT가 결합된 AIoT 환경에서는 수많은 디바이스가 실시간으로 연결되어 동작한다. 그러나 기존의 디바이스 인증 방식만으로는 AI기술로 변화된 환경에서의 모든 기기의 신뢰성을 담보하기 어렵다. 이러한 문제점이 발생된 사례로는 스마트홈 시스템의 취약점(CVE-2021-26638)을 통해 인증을 우회한 사례가 보고되었고, 이로 인해 해커가 가정 내 지능형 홈 IoT 기기를 원격 제어하고 정보를 탈취할 수 있었다. IoT 기기 한 대가 제어되면 이와 연결된 전체 시스템으로 공격이 확장될 수 있어, 기기 간 암묵적 신뢰에 의존한 구조의 위험성이 드러나고 있다. (출처: 비즈니스포스트)

- 생성형 AI 악용 공격: ChatGPT와 같은 생성형 AI 기술의 발전은 공격자에게도 새로운 무기를 제공하고 있다. 예를 들어 AI를 이용한 악성코드 생성이나 정교한 피싱 이메일 작성이 가능해져, 이전보다 더 탐지가 어려운 공격이 증가하는 추세다. 실제로 딥페이크 영상으로 유명인이나 회사 임원의 음성을 흉내 내어 해킹을 시도하거나, AI 모델에 프롬프트 인젝션(Prompt injection, 메시지 입력으로 인한 탈옥으로 AI를 오동작시키는 기법)을 가하여 보안 시스템을 우회하는 시도가 나타나고 있다. 한국인터넷진흥원(KISA)이 발표한 ‘2025년 사이버 위협 전망’ 보고서에 따르면, 생성형 AI를 활용한 지능형 지속 공격(APT)이 향후 몇 년 내 300% 이상 증가할 것으로 예측된다. 이는 AI를 악용한 공격의 위협 수준이 갈수록 높아질 것임을 보여준다.

2. 제로 트러스트와 매터를 통한 보안 대응 전략

AI 시대의 보안 위협에 대응하기 위해서는 기존과 다른 보안 전략이 필요하다. 과거처럼 “내부는 신뢰하고 외부는 경계”하는 방식으로는 더 이상 안전을 보장할 수 없다. 이제는 제로 트러스트 모델을 도입해 모든 접근을 항상 검증하는 접근제어를 시행하고, 동시에 수많은 IoT 기기가 연결되는 환경에서는 글로벌 표준 보안 인증인 매터를 활용하여 디바이스의 신뢰성을 보장해야 한다. 

제로 트러스트는 사용자 · 데이터 중심으로 모든 접근을 의심하고 검증하는 보안 원칙이고, 매터는 IoT 디바이스 중심으로 기기 간 신뢰를 표준화하는 체계다. 두 개념의 영역은 다르지만 AI와 IoT 환경 전반에 걸친 다층적 방어를 상호 보완적으로 제공할 수 있다. 또한 AI 자체가 악용될 수 있다는 점을 고려해 AI 기반의 지능형 보안 모니터링기법도 병행할 필요가 있다. 다음으로는 기업이 실질적으로 도입할 수 있는 주요 보안 대응 방안을 소개한다.

2-1) 제로 트러스트 기반 접근제어 구현

제로 트러스트는 '아무도 신뢰하지 않고, 항상 검증하라(Never Trust, Always Verify)'는 원칙 아래, 모든 사용자와 기기의 접근을 지속적으로 검증하는 보안 모델이다.

기존 경계 방어 모델과 제로 트러스트 모델의 차이점

(출처: Zero Trust Cybersecurity: ‘Never Trust, Always Verify’, NIST, Oct. 2020)

제로 트러스트 기반 모델은 전통적인 보안 모델을 넘어 내부와 외부를 포함한 모든 접근 시도를 확인하도록 설계된다. 기업에서 제로 트러스트 원칙을 적용하기 위한 구체적 방안은 다음과 같다.

- 소프트웨어 정의 경계(SDP) 적용: 네트워크 단계에서 허용된 사용자와 디바이스만 시스템에 접근하도록 제한한다. 소프트웨어 정의 경계(SDP) 기술을 도입하면, 사전에 인증을 통과한 세션에만 내부 자원 접속을 허용하고 그 외 접근은 차단할 수 있다.

- 데이터 접근 통제 및 암호화: AI가 학습하거나 생성하는 중요 데이터에 대한 접근 권한을 최소화하고, 데이터 자체를 암호화하여 보호한다. 불필요한 데이터 접근을 원천 차단하고 민감 정보는 항상 암호화함으로써, 설령 내부 사용자가 실수로 데이터를 외부 AI에 입력해도 유출되거나 악용되는 것을 방지한다.

- 다중요소 인증(MFA) 및 IAM 강화: AI 시스템이나 중요 데이터에 접근하는 모든 사용자와 기기에 다중요소 인증(MFA)을 적용하고, 계정 및 접근관리(IAM) 정책을 강화한다. 이를 통해 사용자와 기기에 대한 접근 주체의 신원을 확인하고, 최소 권한만 부여하여 계정 탈취나 오남용 위험을 줄일 수 있다.

제로 트러스트 접근제어를 구현하면 내부 네트워크나 계정 일부가 위험에 노출되더라도 추가적인 인증 절차와 세분화된 권한 통제로 피해 범위를 최소화할 수 있다. 제로 트러스트의 원칙과 이를 실현하는 보안을 정착시키는 것이 AI 시대 데이터 유출을 막는 첫걸음이 될 것이다.

2-2) 매터 인증을 통한 IoT 디바이스 보안 강화

AIoT 시대에는 다양한 IoT 디바이스에 AI 기술이 적용되면서 기업과 개인의 데이터 활용이 증가하고 있으며, 이를 통해 업무의 생산성이 향상되고 있다. IoT 기기에 적용되는 다양한 표준이 존재하지만, 매터 표준은 IoT 기기의 상호 운용성과 보안을 보장하기 위해 글로벌 기업이 채택한 연결 표준으로 주목받고 있다.

매터 표준은 주요 IoT 플랫폼 간의 상호 운용성을 강화하여 사용자의 편의성을 높이는 동시에, 보안을 고려한 설계를 통해 신뢰할 수 있는 IoT 환경을 제공한다. 특히 보안 측면에서 매터는 강력한 인증 및 암호화 기술을 적용하여 IoT 기기의 안전성을 확보할 수 있다. 이를 통해 디바이스 수준에서 제로 트러스트 모델을 구현해 IoT 기기 간의 신뢰성을 높이고 무단 액세스를 방지하여 보다 안전한 네트워크 환경을 조성할 수 있다.

- 국제 표준 매터 인증: 새로운 IoT 기기를 도입할 때는 매터 인증을 받은 기기를 우선적으로 사용하여 보안성을 확보하는 것이 중요하다. 매터 인증 디바이스는 고유한 보안 인증서로 기기의 신뢰성을 증명하고, 표준화된 절차로 네트워크에 등록된다. 이를 통해 기업과 일상 환경에서 검증된 기기만 연결되도록 관리하고, 미인증 기기의 접근은 차단할 수 있다.

- 디바이스 간 강력한 보안 통신: 매터 프로토콜을 적용하면 IoT 기기와 시스템 간 통신 구간이 암호화되고, 각 세션마다 상호 인증을 수행한다. 그 결과 해커가 중간에 침입하거나 미인증 디바이스를 끼워 넣기 어렵게 만들고, 무단 접근 시도를 초기에 차단할 수 있다. 예를 들어, 스마트팩토리에서 이용되는 IoT 기기에 매터를 도입하면 생산 설비나 센서들이 서로의 신뢰성을 확인하며 데이터를 주고받게 되어 안정적인 보안 통신이 가능하다.

스마트홈을 비롯한 IoT 제조업체들은 매터 표준을 적용한 IoT 기기를 출시하며 보안성을 높이고 있다. 매터 인증을 받기 위해서는 초기 투자와 표준 준수가 필요하지만, 장기적으로 IoT 환경 전반의 보안 수준을 높이는 기반이 된다.

2-3) AI를 활용한 지능형 위협 탐지 및 대응

AI 시대 보안 위협에 대응하기 위해서는 AI 자체를 보안에 활용하는 전략도 중요하다. 공격자가 AI를 악용한다면, 방어자는 AI로 이를 탐지하고 대응해야 선순환을 만들 수 있다. 기업이 도입을 고려할 수 있는 AI 기반 보안 기법은 다음과 같다:

- 프롬프트 인젝션 탐지 및 차단: 최근 부상한 프롬프트 인젝션 공격은 AI 모델에 의도된 악성 지시를 숨겨 넣어, 모델이 개발자의 의도와 다르게 행동하도록 유도하는 기법이다. 이를 막기 위해 자연어 처리(NLP) 기반 필터를 활용해 입력 프롬프트를 분석하고, 의심스러운 패턴이나 금지된 요청을 식별해 악의적인 프롬프트로 인한 오동작을 예방한다.

- 디지털 워터마킹 및 콘텐츠 무결성 검증: AI가 생성하는 이미지, 문서, 코드 등에 디지털 워터마크나 식별 코드를 심어 추후 유출이나 변조를 추적할 수 있도록 한다. 예를 들어 기업이 자체 개발한 생성형 AI가 만든 문서에는 보이지 않는 식별자를 남겨두고, 나중에 유출된 문서에서 이를 찾아내 출처를 확인할 수 있다.

3. AI · IoT 시대, 선제적 보안 강화의 필요성

AI와 AI 기술이 적용된 IoT의 발전이 가져올 새로운 기회가 많아지고 있지만, 기술의 발달만큼 보안 위협 또한 커지고 있다. 앞서 살펴본 데이터 유출 사고나 IoT 디바이스 해킹, AI 악용 범죄는 자칫 한순간에 기업의 신뢰와 경쟁력을 위협할 수 있다. 이를 예방하기 위해 기업에서는 앞서 제시한 대응 전략을 실행할 시점이다.

- 제로 트러스트 원칙 적용: 모든 접속과 활동을 신뢰하지 않고 항상 검증하는 보안 문화를 구축한다. 조직 전반의 네트워크, 애플리케이션, 데이터 접근 관리에 제로 트러스트 아키텍처를 도입하고 지속적인 모니터링과 인증을 시행하여, 내부 위협과 외부 침입에 대비한다.

- IoT 보안 강화 및 매터 인증 채택: IoT 기기가 네트워크에 편입될 때 철저한 인증 확인과 권한 통제가 이루어지도록 한다. 국제 표준인 매터 인증 또는 디바이스 식별 관리 체계를 도입해, 새로운 기기가 네트워크에 들어올 때마다 검증을 거치고 안전한 통신이 이루어질 수 있도록 보장해야 한다. 이를 통해 하나의 디바이스 침해로 전체 시스템이 위험해지는 것을 막을 수 있다.

- AI 활용 가이드라인 마련 및 보안 솔루션 도입: 임직원이 Chat GPT와 같은 AI 도구를 사용할 때 지켜야 할 보안 가이드라인을 수립하고 교육한다. 예를 들어 업무상 기밀 데이터를 외부 AI 서비스에 입력하지 않도록 정책을 정하고 지속적으로 점검한다. 아울러 앞서 언급한 AI 기반 지능형 위협 탐지 솔루션을 도입하여, AI 활용으로 발생하는 보안 위협에 대응할 수 있는 체계를 마련한다.

이번 칼럼에서 소개한 대응 전략은 AI 시대의 새로운 위협을 효과적으로 억제하고, 불확실성을 줄여 줄 수 있다. 특히 드림시큐리티는 AI로 인해 변화하는 보안 환경의 강화를 위해 제로 트러스트 기반 접근제어 기술과 매터 인증 체계 솔루션을 적극 연구·개발하고 있으며, 이를 통해 기업이 AI 기술과 IoT 환경을 안심하고 활용할 수 있도록 지원하고 있다.

AI 시대의 변화에 따라 보안도 함께 혁신해야 한다. 앞으로도 드림시큐리티는 지속적인 기술 개발과 지원을 통해 안전한 디지털 생태계 조성에 기여하고, 새로운 시대의 보안 위협에 대응하기 위해 최선을 다하고자 한다.