지난 주, AI 기업 Anthropic은 다음과 같은 보안 사고를 인정했습니다. 블로그 게시물 초안 로 유출되었습니다. Fortune.
이 블로그 게시물은 새로운 프로젝트인 “클로드 신화”와 새로운 모델인 Capybara가 AI 비서의 “단계적 변화”를 대표한다고 언급했습니다. 블로그는 “추론, 코딩, 사이버 보안에서 의미 있는 진전을 이룬 범용 모델”이라고 선전했습니다.”
앤트로픽 블로그에서도 다음과 같이 경고했습니다: “클로드 카피바라 출시를 준비하면서 자체 테스트를 통해 알게 된 것 이상으로 더욱 신중하게 행동하고 이 모델이 초래할 수 있는 위험을 이해하고자 합니다... 특히 사이버 보안 영역에서 이 모델의 단기적 잠재 위험을 파악하고 그 결과를 공유하여 사이버 방어자들이 대비할 수 있도록 돕고자 합니다.”
그리고 초안 또한 새로운 모델은 “방어자들의 노력을 훨씬 능가하는 방식으로 취약점을 악용할 수 있는 새로운 모델의 출현을 예고하고 있다”고 지적했습니다.”
클로드 마이토스는 조직의 사이버 보안 태세에 큰 위험을 초래할 수 있습니다. 이 새로운 모델은 AI, 에이전트 및 기타 비인간 신원(NHI)으로 인한 위험 증가에 따른 것입니다:
- Gartner 는 에이전트 AI를 2025년 최고의 기술 트렌드로 선정했으며, 2024년 1% 미만이었던 기업용 앱의 에이전트 AI가 2028년에는 33%에 달할 것으로 예측했습니다.
- 다른 연구에 따르면 NHI는 다음과 같이 인간 사용자보다 많습니다. 45대 1데브옵스 환경에서.
- 최근 설문 조사에 따르면 60%의 기업이 NHI를 적절히 보호할 수 있는 능력에 대한 자신감이 부족하다고 답했습니다.
특히 Claude Mythos, ChatGPT 또는 다른 에이전트 서비스에 대해 지난주에 열린 RSAC 컨퍼런스 는 AI가 위협 환경을 어떻게 변화시키고 있는지에 초점을 맞췄습니다.
다음은 조직이 AI를 사용하고 AI를 방어하는 데 도움이 될 수 있는 모범 사례를 소개합니다.
AI 기반 위협은 다가오는 것이 아니라 이미 존재하고 있습니다. 이전 Anthropic 블로그 게시물 는 국가가 후원하는 그룹이 이 에이전트를 사용하여 “약 30개의 글로벌 표적에 침투했고”, “합법적인 보안 테스트 기관에서 일하는 것처럼 위장”하여 클라우드의 감시를 피하는 데 성공했다고 설명합니다. 저희는 계속해서 AI 기반 피싱 공격 사용자의 자격 증명을 도용하는 것을 목표로 합니다.
조직은 더 많은 공격에 대비하고 더 효과적인 공격에 대비하기 위해 올바른 ID 제어를 구축해야 합니다. 여기에는 다음이 포함됩니다:
- 비밀번호 없는 인증비밀번호를 사용하지 않으면 AI 기반 피싱 공격이 도용하려는 자격 증명을 제거할 수 있습니다. 목표 대규모로 암호 없는 배포 모든 환경의 모든 사용자에게 적합합니다.
- 인증 프로세스 보안: 비밀번호를 사용하지 않는 것은 AI로부터 조직을 안전하게 보호하는 훌륭한 첫걸음이지만, 이는 첫 단계에 불과합니다. 다음과 같은 솔루션을 사용하여 인증 프로세스 자체를 안전하게 유지하세요. 사용자 신호를 동적으로 평가 고위험 로그인 시도 시 단계별 인증을 요구하거나 근접 인증을 사용하여 사용자의 디바이스가 액세스하려는 대상과 가까운지 확인합니다.
- 양방향 신원 확인: 딥페이크는 공격자가 사용자나 헬프 데스크 직원으로 위장하기가 더 쉬워집니다. 에이전트는 공격자가 더욱 그럴듯한 소셜 엔지니어링 공격을 만드는 데 도움을 줄 것입니다. 조직은 공격자의 전술과 위협을 모두 설명할 수 있는 간단한 방법이 필요합니다. 사용자 확인 의 공격에 대비하기 위해 다음과 같이 주장합니다. MGM 리조트, 시저스 엔터테인먼트 그룹, 마크스 앤 스펜서 수억 달러에 달합니다.
- ID 거버넌스 및 관리(IGA): 대부분의 침해가 발생하는 동안 공격자는 신속하게 권한을 상승시키고 액세스 권한을 확장합니다. 공격자는 고급 IGA 프로그램 는 ID가 필요한 경우에만 액세스하도록 보장하고, 최소 권한을 적용하며, 제로 트러스트 접근 방식을 지원함으로써 이러한 위험을 억제하는 데 도움이 됩니다.
외부 AI를 방어할 수 있는 보안 기능을 갖추는 것만으로는 충분하지 않습니다. 조직은 안전하게 사용할 수 있는 ID 보안 제어 기능도 필요합니다. 조직은 2026 RSA ID IQ 보고서, 2,100명 이상의 글로벌 사이버 보안, ID 및 액세스 관리(IAM), 규정 준수, 기술 리더를 대상으로 한 업계 설문조사에 따르면 올해 사이버 보안 스택에 어떤 형태로든 AI를 도입할 계획인 조직은 91%에 달했습니다.
AI를 안전하게 사용하려면 조직은 다음과 같이 해야 합니다:
- 모든 상담원을 신원처럼 취급하세요. 조직은 모든 에이전트, 봇 및 AI 서비스를 하나의 ID로 취급해야 합니다. 인간 사용자와 동일한 수준의 제어, 권한 및 감독을 NHI에 적용해야 합니다. 먼저 보유하고 있는 것을 인벤토리화하고 액세스 권한을 파악하세요. 그리고 상담원에게 비밀번호를 사용하지 않도록 요구하여 직원이 비밀번호를 하드코딩하여 대신 행동할 위험을 없애야 합니다. 그렇게 하면 안전하지 않은 봇을 야생에 풀어놓는 것과 마찬가지입니다.
- 정책을 명확하고, 큰 소리로, 자주 전달하세요.. 이는 단순한 기술 문제가 아닙니다. 조직은 어떤 서비스가 공정한 게임인지, 직원들이 어떤 리소스를 제공할 수 있는지 파악해야 합니다. 섀도 AI는 PII, 금융 정보 및 기타 제한된 데이터를 잃을 수 있는 큰 위험을 나타냅니다.
- 더 나은 IGA를 구축하세요. AI를 안전하게 사용하려면 조직은 ID 데이터의 규모에 발맞춘 거버넌스가 필요합니다. 즉, ID가 필요한 액세스 권한만 갖도록 하고, 액세스에 대한 지속적인 가시성을 유지하며, 복잡한 데이터를 명확하고 우선순위가 지정된 조치로 전환해야 합니다. AI는 검토자가 자신 있게 결정을 내리고 보안 전문가가 위험을 식별하고 규모에 맞는 조치를 취할 수 있는 인사이트를 제공하여 지속적이고 지능적으로 액세스를 제어할 수 있도록 돕습니다.
- AI를 위한 데이터 주권. 규정 준수, 보안 및 가용성 요구 사항이 강화된 조직은 다음을 사용하는 것을 고려해야 합니다. 주권 배포 기능을 통해 데이터, 데이터의 위치, 데이터에 액세스할 수 있는 사람을 완벽하게 제어할 수 있습니다. 프라이빗 클라우드, 멀티 클라우드, 온프레미스, 에어 갭 구성에서 완벽한 ID 및 액세스 관리(IAM) 기능을 지원할 수 있는 솔루션을 찾아보세요.
