[만나보니] '한국판 글래스윙' 캐노피 출범…"AI 보안 주권 키운다"

다음 내용이 궁금하다면?

불편하시다면 뒤로 가기를 눌러주세요

미토스 수출통제 계기…국내 공익 AI 보안 연합체 본격 가동

박세준 위원장 "AI 보안 격차 줄여 글로벌 표준 모델 만들 것"

(서울=연합뉴스) 권하영 기자 = 앤트로픽의 최신 인공지능(AI) 모델 '미토스'를 둘러싼 수출 통제 파장이 이어지는 가운데 국내에서 독자적인 공익 AI 보안 이니셔티브가 닻을 올렸다.

지난 17일 사단법인 '프로젝트 플라즈마' 주도로 공식 출범한 '프로젝트 캐노피'는 미국 행정부의 수출 통제로 글로벌 AI 보안 협력체 '프로젝트 글래스윙' 참여에 제동이 걸린 상황에서 나온 시도다.

하지만 캐노피 출범을 주도한 박세준 위원장(티오리한국 대표)은 이를 단순한 대안이나 임시방편으로 규정하지 않는다.

박 위원장은 출범 당일 연합뉴스와의 인터뷰에서 "앤트로픽이 글래스윙을 처음 출시했을 때 '이 글래스윙은 출발점일 뿐이며 우리 말고도 다른 곳에서 이런 이니셔티브를 많이 진행해 달라'고 언급했다"며 "캐노피는 그 요청에 응답하는 성격의 프로젝트"라고 밝혔다.

한국에서 검증된 모델을 바탕으로 아시아, 유럽, 북미로 확장해 글로벌 공익 AI 보안의 표준 모델로 키우겠다는 구상이다.

◇ 글래스윙 막히자 터진 '자생 생태계' 필요성

수출 통제 사태는 AI 기술 종속의 위험성을 현실로 드러냈다.

미국 행정부는 지난 12일 국가 안보를 이유로 외국 국적자의 미토스5·페이블5 접근을 전면 차단하는 수출 통제 지침을 발표했고, 삼성전자[005930], SK하이닉스[000660], SK텔레콤[017670], 한국인터넷진흥원(KISA) 등 글래스윙에 합류한 국내 기업·기관들은 합류 열흘 만에 접근 권한이 사실상 막혔다.

앤트로픽은 수일 내 서비스 재개를 기대한다고 밝혔지만, 협상 향방에 따라 한국 기업들의 최첨단 AI 접근권과 글래스윙 참여 범위가 언제든 바뀔 수 있다는 불확실성은 여전하다.

박 위원장은 이 같은 구조적 취약성을 직시한다.

그는 "하나의 모델, 기술, 플랫폼에만 의존하다가 그 연결이 끊겨버리면 생태계 전체가 깜깜해지는 위험이 있다"며 "안전한 AI 생태계를 만들기 위해 여러 협약체와 상호 보완적인 거버넌스를 구축해 시스템의 지속 가능성을 확보하려 한다"고 강조했다.

'글래스윙(Glasswing)'이 날개가 투명한 나비에서 착안해 취약점을 투명하게 발견·공개한다는 뜻을 담았다면, '캐노피(Canopy)'는 숲의 나뭇가지들이 지붕처럼 우거진 형상에서 따왔다. 비바람을 막아 전체 생태계를 단단히 지키는 지붕이 되겠다는 의미다.

◇ "취약점 찾는 것보다 고치는 게 더 중요"

캐노피의 핵심 문제의식은 AI 시대 보안의 진짜 병목이 '발굴'이 아닌 '수리'에 있다는 데서 출발한다.

박 위원장은 "기술의 발전으로 취약점을 찾는 비용과 속도는 효율화됐을지 몰라도, 오픈소스 메인테이너(Maintainer)들은 정작 리소스와 인력이 부족해 적시에 대응하지 못하는 경우가 많다"며 "기술과 조치 사이의 격차가 심해졌다"고 진단했다.

캐노피의 접근법은 단순 취약점 제보를 넘어 패치 코드를 직접 작성해 함께 제공하는 방식이다. 메인테이너가 분석과 보완에 쏟아야 할 리소스를 줄여 빠른 적용을 돕겠다는 것이다. 패치 이후에는 기업들이 이를 어떻게 적용해야 하는지 안내서와 공식 방법론까지 제공하는 '풀 사이클(Full-Cycle)' 구조를 지향한다.

실제 출범에 앞서 캐노피는 시범 활동으로 전자정부표준프레임워크, 학교 내부 시스템, 리눅스 및 주요 데이터베이스 소프트웨어 등을 대상으로 AI 기반 취약점 탐지 도구를 활용해 점검을 수행했다. 그 결과 심각도 높은 취약점 수백 건 이상을 발견해 해당 기관 및 개발 주체에 제보했으며, 현재 패치가 진행 중이다.

◇ 3단 거버넌스·30억원 기금…운영 구조는

캐노피는 스튜어드(Steward), 디펜딩 파트너(Defending Partner), 리서치 어필리에이트(Research Affiliate) 3단 구조로 운영된다.

핵심 운영 주체인 스튜어드는 거버넌스와 취약점 분석, 연구를 주도하는 의사결정 기구다. 화이트햇 해커 출신 보안 기업 티오리한국, 두나무, LG유플러스[032640], 포스코DX, 한화손해보험[000370] 등 5개사가 이름을 올렸다.

스튜어드의 가장 큰 특전은 '정보 공유의 시점'이다. 취약점이 발견된 초기 단계부터 상세 내용을 공유받아 패치 출시 전 선제 대응 체계를 구축할 수 있다. 엄격한 비밀유지계약(NDA)이 적용되는 대신 참여 기업들은 강력한 선제 보안 우위를 확보하게 된다.

디펜딩 파트너 이하 그룹은 패치가 공식 출시·공개된 시점에 대응 정보를 받는다.

광운대학교, 금융결제원, 롯데카드, 롯데이노베이트[286940], 무신사, 삼성화재[000810]보험, SK AX, LG전자[066570], NHN[181710], 우아한형제들, 정보통신기획평가원(IITP), 현대자동차그룹, 현대카드 등을 포함해 총 27개 기업·기관이 초기 파트너로 참여를 확정했다.

캐노피는 약 30억원 상당의 AI 보안 분석 크레딧 재원을 전액 기부금 형태로 선제 확보했다.

이를 통해 오픈소스 프로젝트 관리자에게 취약점 점검 크레딧을 무상 제공하는 '오픈소스 프로그램', 보안 여력이 부족한 기관을 집중 지원하는 '민생 인프라 방어 프로그램', 화이트햇 해커에게 보상을 지급하는 '협력 공개 및 패치 보상 프로그램' 등 3가지 프로그램으로 운용된다.

◇ "위협은 이미 눈앞에…달리면서 채워나갈 것"

캐노피의 운영 사이클은 분기(3개월) 단위다. 대상 선정부터 취약점 발굴·검증, 메인테이너 제보, 패치 가이드라인 배포까지 한 사이클로 묶어 기존에 수개월씩 걸리던 리드 타임을 단축하겠다는 목표다. 거버넌스 차원의 큰 단위는 1년으로, 스튜어드 체제도 주기적으로 바꿔 지속 가능성을 확보할 계획이다.

박 위원장은 "뛰어난 역량을 가진 참여사들과 함께 취약점을 찾고, 제보하고, 보완하고, 테스트하는 전반적인 풀 사이클의 베스트 프랙티스를 만들어 글로벌 표준으로 정립하겠다"고 밝혔다. AI 시대 보안 워크플로우 표준을 가이드라인과 보고서 형태로 전 세계에 제안하겠다는 구상이다.

캐노피는 이달 중순 1차 거버넌스 프로세스에 돌입하고, 다음 달 초에는 전 세계 기업·기관을 대상으로 한 공개 가입 페이지를 열 계획이다. 전담 운영국 확장도 추진 중이다.

박 위원장은 "위협은 이미 눈앞에 와 있고, 지금도 늦었다고 판단할 만큼 시급성을 느끼고 있다"며 "일회성 이벤트가 아니라 진짜로 미래의 안전을 바꿀 수 있는 건강한 보안 자생 생태계를 만들고자 한다"고 말했다.

kwonhy@yna.co.kr

제주도, 감귤·돼지고기 대신 반도체 '훨훨'…수출액 3 코트라, 태국·인니서 아세안 K-스마트시티 수출 로드쇼

인기상품 확인하고 계속 읽어보세요!

5

원치 않을 경우 뒤로가기를 눌러주세요.