X

과기정통부·KISA, AI 보안 위협 대응 가이드 발간

이 기사 AI가 핵심만 딱!
애니메이션 이미지
신영빈 기자I 2026.07.08 17:21:21

AI 보안 위협 대응 매뉴얼·레드티밍 가이드 공개
프롬프트 인젝션·데이터 유출 등 위협 대응 기준 제시
금융·의료·공공 등 8개 산업별 시나리오 포함
국제표준안 기반 레드팀 운영 절차 정리

[이데일리 신영빈 기자] 정부가 인공지능(AI) 서비스 보안 위협에 대응하기 위한 실무 가이드 2종을 발간했다. 프롬프트 인젝션, 권한 오남용, 데이터 유출 등 AI 특화 보안 위협을 점검하고 공격자 관점에서 취약점을 진단하는 기준을 제시한다.

과학기술정보통신부와 한국인터넷진흥원(KISA)은 ‘AI 보안 위협 대응 매뉴얼’과 ‘AI 보안 레드티밍 가이드’를 발간했다고 8일 밝혔다.

과학기술정보통신부 /뉴스1
과학기술정보통신부 /뉴스1
최근 AI 기술이 산업과 서비스 전반으로 확산되면서 생산성과 혁신을 높이는 동시에 새로운 유형의 보안 위협도 커지고 있다. 프롬프트 인젝션, 권한 오남용, 데이터 유출 등이 대표적이다. 특히 AI 보안 위협은 기존 정보보호 체계만으로 충분히 검증하고 대응하기 어려워, 실제 공격자 관점에서 취약점을 식별하는 AI 레드팀의 중요성이 커지고 있다.

이번에 발간된 가이드 2종은 AI 환경에서 발생할 수 있는 주요 보안 위협과 사례를 체계적으로 정리하고, 현장에서 활용할 수 있는 점검·대응 방안과 레드팀 운영 기준을 제공하는 데 초점을 맞췄다.

‘AI 보안 위협 대응 매뉴얼’은 AI 보안 위협 분류와 진단, 산업별 위협 시나리오, 위협별 대응 방안 등을 담았다. 위협은 데이터, 모델, 에이전트, 공급망, 고성능 모델 위협 등으로 분류했다. 산업별 시나리오는 금융, 의료, 공공·행정, 교육, 제조·에너지, 통신, 법률, IT 등 8개 분야를 대상으로 구성했다.

해당 매뉴얼은 경영진에게 AI 보안 위협 유형과 사례를 설명하고, AI 보안 실무자와 IT 운영자에게는 위협을 어떻게 진단하고 대응할지에 대한 구체적인 기준을 제공한다.

‘AI 보안 레드티밍 가이드’는 AI 보안 레드팀을 운영하려는 실무자를 위한 기준서다. 레드팀 기획과 구성, 레드티밍 준비, 레드티밍 이행, 결과 보고까지 운영 전 과정을 안내한다. 레드티밍 체크리스트, 점검 도구, 레드팀 인력 직무기술서 등도 포함해 현장 활용성을 높였다.

과기정통부와 KISA는 이번 가이드 제작 과정에서 민간 기업 AI 보안 담당자와 레드티밍 전문기업 관계자 의견을 반영했다. 학계 전문가 자문도 거쳤다. AI 보안 레드티밍 가이드는 AI 레드티밍 국제표준안인 ISO·IEC 42119-7을 기반으로 구성해 국제 기준과의 정합성도 고려했다.

과기정통부는 AI 에이전트 확산으로 새로운 보안 위협이 증가하는 만큼, 이번 가이드가 AI 서비스를 개발·운영하는 기업과 AI 레드티밍 전문기업에서 폭넓게 활용될 것으로 기대하고 있다.

임정규 과기정통부 정보보호네트워크정책관은 “AI 기술의 확산과 함께 보안 위협도 빠르게 진화하고 있다”며 “이번 가이드가 AI 서비스의 보안 수준을 높이고 현장에서 활용할 수 있는 실질적인 기준이 되기를 기대한다”고 말했다.

이어 “앞으로도 AI 보안 레드팀 사업을 통해 공격 시나리오와 적용 도메인을 지속적으로 확대·발굴하고, 최신 AI 기술과 동향을 반영해 가이드와 검증 체계를 고도화하겠다”고 덧붙였다.

AI 보안 위협 대응 매뉴얼과 AI 보안 레드티밍 가이드는 과기정통부와 KISA 홈페이지에서 무료로 내려받을 수 있다.

이 기사 AI가 핵심만 딱!
애니메이션 이미지

주요 뉴스

ⓒ종합 경제정보 미디어 이데일리 - 상업적 무단전재 & 재배포 금지