“AI 에이전트, 도구인가 구멍인가”... OWASP 서울 1월 세미나

여서인 화이트햇 스쿨 3기 “시스템 해킹서 배운 끈기, AI 프롬프트 분석으로 이어져”
박대영 금융보안원 책임 “규제 기관 넘어 AI 도입의 ‘서핑보드’ 역할 할 것”

[보안뉴스 조재호 기자] “막연함을 확신으로 바꾼 주니어의 패기”와 “규제를 넘어 안전망을 짓겠다는 시니어의 비전”이 한자리에서 만났다. 최근 열린 OWASP 서울 챕터 1월 세미나는 시스템 해킹부터 AI 보안 정책까지, 세대를 아우르는 지식 공유의 장이었다.

▲여서인 화이트햇 스쿨 3기 학생이 발표를 진행하고 있다. [출처: 보안뉴스]

‘AI 보안’을 주제로 열린 이번 세미나 1부에서는 비전공자 출신 주니어 연구원이 ‘맨땅에 헤딩’하며 체득한 AI 해킹 학습기를, 2부에서는 금융보안원 전문가가 제시하는 거시적 AI 보안 검증 체계 발표가 이어졌다.

“막연함을 확신으로”... ZDI 바운티 따낸 주니어의 성장
첫 번째 연사로 나선 화이트햇 스쿨 3기 여서인 학생은 ‘막연함을 확신으로 바꾼 주니어의 9개월’이라는 주제로 치열했던 학습 과정을 공유했다.

비전공자로 보안에 입문한 여서인 학생은 초기 시스템 해킹 학습 과정의 어려움을 털어놨다. 그는 “수없이 마주한 크래시(Crash)를 분석하며 좌절하기도 했지만, 끈질긴 분석 끝에 취약점 원리를 파악하게 됐다”며 이러한 노력의 결실로 글로벌 취약점 연구 프로그램 ‘ZDI(Zero Day Initiative)’로부터 바운티를 수령한 경험을 소개해 박수를 받았다.

그의 성장은 시스템 해킹에서 멈추지 않고 최신 트렌드인 ‘AI 에이전트’로 확장됐다. LLM 세이프티 챌린지에 참여하며 겪은 프롬프트 인젝션 경험을 소개했다. 그는 “과거에는 메모리 오염을 찾았다면, 이제는 AI 에이전트의 워크플로우 허점을 찾고 있다”며 “도구(Tool)는 에이전트를 강력하게 만들지만, 게이트웨이(Gateway)는 에이전트를 통제할 수 있게 만든다”고 말했다.

여서인 학생은 “보안은 두려움의 대상이 아니라 끊임없이 연결하고 확장하는 과정”이라며 “비전공자라는 막연함을 ‘할 수 있다’는 확신으로 바꾼 경험이 다른 분들에게도 용기가 되길 바란다”고 말했다.

▲박대영 금융보안원 AI혁신부 책임이 발표를 진행하고 있다. [출처: 보안뉴스]

금융보안원, “AI 도입 막는 ‘브레이크’ 아닌 ‘안전망’ 짓는다”
2부에서는 박대영 금융보안원 AI혁신부 책임이 마이크를 잡았다. ‘AI 취약점, 위협, 리스크 그리고 방어 메커니즘’을 주제로 발표한 박 책임은 금융권 AI 도입을 바라보는 금융보안원의 변화된 시각을 강조했다.

박 책임은 “많은 분이 금융보안원을 규제 기관으로만 생각하지만, 우리는 기업들이 AI라는 거대한 파도를 안전하게 탈 수 있도록 돕는 ‘서핑보드’ 역할을 자처한다”고 말했다. 단순한 통제보다는 R&D와 기술 검증을 통해 안전한 도입을 지원하겠다는 의지를 내비친 것이다.

그는 금융 특화 ‘레드티밍’(Red Teaming)의 중요성도 역설했다. “금융 AI는 일반적인 혐오 표현 필터링을 넘어, 잘못된 금융 정보를 사실인 양 답변하는 ‘금융 환각’(Financial Hallucination)을 막아내는 것이 핵심”이라고 설명했다. 이를 위해 금융보안원은 앤스로픽의 ‘어시스턴트 축’(Assistant Axis) 등 최신 글로벌 연구를 벤치마킹하여 금융 환경에 맞는 검증 체계를 구축하고 있다고 말했다.

박 책임은 “AI는 확률에 기반한 ‘블랙박스’이기에 100% 안전은 없다”면서도 “금융보안원이 제공하는 가이드라인과 검증 프레임워크가 현장의 불확실성을 통제 가능한 리스크로 낮추는 ‘제도적 안전망’이 될 것”이라고 강조했다.

“배움엔 연차가 없다”... 세대 아우른 네트워킹
이날 행사는 단순한 지식 전달을 넘어 보안인들의 교류의 장이기도 했다. 쉬는 시간과 행사 종료 후에도 연사들에게 질문하려는 줄이 길게 늘어섰으며, 참가자들은 서로의 경험을 나눴다.

행사에 참석한 한 보안 전공 학생은 “여서인 학생의 발표를 보며 비전공자인 나도 할 수 있다는 자신감을 얻었고, 박대영 책임님의 강연을 통해 AI 보안의 실무적 깊이를 알게 됐다”며 “이론과 현장의 이야기를 모두 들을 수 있어 유익했다”고 말했다.

OWASP 서울 챕터 관계자는 “AI 시대의 보안 위협은 개별 기업이나 개인의 힘만으로는 대응하기 어렵다”며 “앞으로도 주니어와 시니어, 공격과 방어를 아우르는 다양한 주제로 지식 공유 생태계를 만들어갈 것”이라고 밝혔다.

[조재호 기자(sw@boannews.com)]

우리나라 정보보호 수준 향상을 위해 이재명 정부에게 가장 바라는 점은 무엇인가요?
	ISMS 등 보안 인증 제도 실효성 개선
	AI 보안, 양자보안 등 보안 기술 연구개발 지원 확대
	중소 기업 보안 지원 확대
	기업 보안 예산 비율 의무화
	국가 정보보호 거버넌스 체계 정비
	기타(댓글로)