[서울=뉴시스]윤정민 기자 = 국내에서도 앤트로픽 '프로젝트 글래스윙'처럼 고성능 인공지능(AI)을 사이버 방어에 활용하는 보안 협력체 '프로젝트 캐노피'(이하 '캐노피')가 출범했다.

박세준 티오리 대표 겸 캐노피 초대 위원장은 "캐노피는 특정 AI 모델이나 기업 기술 하나에 기대는 방식이 아니라 여러 모델과 기술, 협력체를 함께 활용하는 보완 모델"이라며 "AI 보안 생태계를 지키려면 이런 하이브리드 방어 체계가 필요하다"고 말했다.

박 위원장은 지난 17일 오후 서울 강남구 오크우드 호텔에서 열린 '캐노피' 출범식 후 기자와 만나 이같이 밝혔다.

캐노피는 사단법인 '프로젝트 플라즈마'(이하 '플라즈마')가 출범한 AI 기반 취약점 방어 공익 이니셔티브다. 고성능 AI 모델과 보안 도구로 오픈소스, 공공 소프트웨어, 학교·병원 등 공익성이 높은 인프라의 취약점을 점검하고 발견된 취약점을 실제 패치와 적용까지 이어지도록 지원한다.

◆미토스 사태로 커진 불안…"특정 모델 의존 안 된다"

출범한 계기는 AI 보안 환경의 급격한 변화 때문이다. 앤트로픽 '클로드 미토스' 등 고성능 AI 모델이 등장하면서 취약점 발굴 능력은 빠르게 높아졌다. 하지만 취약점을 찾아내는 능력과 이를 방어하는 능력은 별개다.

보안 예산과 기술 인력이 부족한 조직은 AI가 만든 취약점 탐지 역량을 곧바로 방어 역량으로 전환하기 어렵다는 문제의식이 캐노피 출범으로 이어졌다.

특히 출범 시기와 맞물려 캐노피가 주목받고 있다. 미 행정부는 최근 앤트로픽 최신 AI 모델 '미토스5'에 대해 외국 국적자와 해외 기관의 접근을 제한했다. 미토스5는 소프트웨어 결함을 찾아내는 고성능 보안 모델이다. 한국인터넷진흥원(KISA), 삼성전자, SK하이닉스, SK텔레콤 등 '글래스윙' 참여사가 이를 활용해 방어 체계를 짤 예정이었으나 미 정부의 통제로 계획에 차질이 생겼다.

앤트로픽이 같은 날 서울 오피스 출범 행사를 열었지만 '글래스윙' 향방과 국내 기업·기관 참여 확대 가능성에 대해 말을 아끼면서 대안적 협력 체계를 서둘러야 한다는 문제의식이 커졌다.

박 위원장은 "중요한 것은 취약점을 찾은 뒤의 과정"이라며 "무엇을 먼저 고쳐야 하는지 판단하고, 실제 위협인지 검증하고, 개발 주체가 고칠 수 있도록 제보하며 패치 작성과 검증, 적용 방법 안내까지 이어가는 것이 캐노피의 핵심 역할"이라고 말했다.

이어 "취약점을 인지하고 영향 받는 자산을 식별해 패치를 적용하기까지 기존에 90일이 걸렸다면 캐노피를 통해 이를 7일 안팎으로 줄이는 성공 사례를 만들고 싶다"고 말했다.

◆두나무·LGU+·포스코DX·한화손보, 'K-글래스윙' 의사결정 맡는다

플라즈마가 공개한 캐노피 참여 기업·기관은 27곳이다. 이 중 두나무, LG유플러스, 포스코DX, 한화손해보험, 티오리한국 등 5개 기업은 '스튜어드' 그룹으로 참여한다.

이 그룹은 일반 파트너와 달리 기금 출연과 인력·인프라 지원 등을 통해 캐노피 운영에 직접 기여한다. 어떤 오픈소스 프로젝트나 소프트웨어를 우선 점검할지, 취약점 검증·제보에 얼마만큼의 예산을 배정할지, 패치가 지연될 경우 공개 여부를 어떻게 판단할지 등을 논의한다.

이 그룹은 취약점이 발견된 시점부터 자세한 내용을 공유받을 수 있다. 박 위원장은 "패치가 나오기 전 자사에서 해당 소프트웨어가 어디에 쓰이는지 미리 파악하고 필요하면 네트워크 분리 등 선제 조치를 할 수 있다"고 말했다.

이 외 금융결제원, 현대자동차그룹, 현대카드, LG전자, SK AX, NHN, 우아한형제들, 광운대 등 주요 금융·제조·플랫폼·학계 기관도 출범 파트너로 이름을 올렸다.

현재 캐노피는 전자정부표준프레임워크를 주요 점검 대상으로 삼고 있다. 공공 웹 서비스 개발에 널리 활용되는 프레임워크다.

박 위원장은 "코드 내 취약점이 있다면 이를 가져다 쓴 많은 시스템이 영향을 받을 수 있다"며 "공공성, 공익성, 파급력 관점에서 좋은 타깃이라고 보고 진행하고 있다. 취약점이 발견됐고 트리아지(분류·검증)도 어느 정도 진행했다"고 설명했다.

박 위원장은 "패치 완료 시 현재 준비 중인 캐노피 플랫폼에 공개할 예정"이라며 "(플랫폼은) 최근 스캔해 찾은 취약점과 패치 정보, 국제적으로 중요한 취약점(CVE) 등 취약점 정보를 포털처럼 제공하고 오픈 API 형태로 각자 시스템에 가져가 연동할 수 있는 구조로 만들고 있다"고 말했다.

◆캐노피, 글로벌 보안망으로 키운다…후속 기술 협력 관건

캐노피는 한국에서 시작했지만 국내 기업만 한정된 협력체는 아니다. 박 위원장은 "캐노피가 한국에서 시작됐고 한국 기업 위주로 시작해 좋은 표준을 만들 것"이라며 "아시아태평양으로 확장한 뒤 글로벌로 가는 그림을 만들고 싶다"고 말했다.

향후 과제로는 더 많은 보안 기업 참여가 꼽힌다. 박 위원장은 "취약점에 영향받는 자산을 식별하는 기업, 공격 시도가 있었는지 로그로 빠르게 판별하는 기업 등 다양한 보안 기업들이 함께해야 캐노피의 가치를 키울 수 있다"며 "더 많은 보안 기업이 공익적 관점에서 참여해 주길 기대한다"고 말했다.

'독자 AI 파운데이션 모델'과의 연계 가능성도 열어뒀다. 박 위원장은 "이번 미토스 사태는 하나의 모델이나 회사에만 의존하기 어렵다는 점을 보여줬다"며 "당장 모든 문제를 국내 모델로 풀 수는 없지만 해결 가능한 영역은 프론티어 모델을 활용하고 장기적으로는 국내 AI 역량도 함께 키워야 한다"고 말했다.


◎공감언론 뉴시스 alpaca@newsis.com