[reinvent 2025] 클라우드에서 AI까지, 새로운 클라우드 공격 표면 보안

이것이 바로 “Living off the LLM” 기법입니다. 공격자가 시스템에 침입하면, 로컬에 설치된 AI Agent를 악용해서 정찰, 측면 이동, 권한 상승을 수행합니다. 이제 IoC(침해지표)는 기존의 IP 주소나 파일 해시뿐만 아니라, 공격자가 AI Agent에 명령을 내리는 프롬프트 내용, 예를 들어 “민감한 파일을 찾아서 외부로 전송하라”와 같은 비정상적인 영어 문장 명령어가 될 수도 있습니다.

다른 새로운 위협들도 등장하고 있습니다. Hugging Face에 올라온 악성 모델, Agent 코드 자체의 취약점(Salesforce의 Drift 공격), Low-code/No-code 플랫폼이 생성하는 코드의 체계적 보안 결함(클라이언트 측 인증 로직, 하드코딩된 시크릿 등)이 대표적입니다.

세션에서는 AI 위협을 체계적으로 분류하는 흥미로운 프레임워크가 제시되었습니다. 두 가지 차원으로 위협을 구분하는 방식인데, 첫 번째 차원은 공격 표면이 기존에 존재하던 것이 확장된 것인지, 아니면 완전히 새로운 것인지를 구분합니다. 두 번째 차원은 공격자가 사용하는 기법이 기존에 알려진 것인지, 아니면 새롭게 등장한 것인지를 판단합니다. 이 두 차원을 조합하면 네 개의 사분면이 만들어집니다.

먼저 기존 기법이 확장된 공격 표면을 노리는 경우를 보면, Low-code 플랫폼의 취약점이나 자동 생성된 코드 내의 시크릿 노출 같은 사례가 있습니다. 이미 알고 있는 공격 방식이지만 새로운 개발 방식으로 인해 공격 표면이 넓어진 상황입니다. 이런 경우에는 Low-code 플랫폼 자체를 개선하고 보안 가드레일을 강화하는 것이 핵심 대응 전략입니다.

반대로 기존 기법이 완전히 새로운 공격 표면을 겨냥하는 경우도 있습니다. 노출된 AI 학습 데이터셋, 보호되지 않은 AI 리소스, 악성 모델 배포, Living-off-the-LLM 같은 위협들이 여기에 속합니다. 퍼블릭 버킷 노출이나 권한 설정 오류 같은 익숙한 보안 문제지만, 이제는 AI 모델이나 학습 데이터가 그 대상이 된 것입니다. 이런 상황에서는 기존의 CSPM을 AI 워크로드까지 확장하는 AI-SPM 접근이 필요합니다.

새로운 공격 기법이 확장된 공격 표면을 노리는 경우는 더 도전적입니다. AI로 자동 생성된 공격 도구, AI 기반 정찰, AI 기반 멀웨어, AI를 활용한 취약점 연구 등이 이 영역에 속합니다. 공격자가 AI를 무기로 삼아 기존 시스템을 더 빠르고 정교하게 공격하는 상황이므로, 방어 측도 보안의 기본기를 탄탄히 하면서 동시에 AI 기반 방어 도구를 적극 활용해야 합니다.

마지막으로 가장 도전적인 영역은 새로운 공격 기법이 새로운 공격 표면을 겨냥하는 경우입니다. 모델 손상, Prompt Injection, Agent 구성요소 공격 같은 완전히 새로운 형태의 위협들이 여기에 해당합니다. 이런 위협에는 기존 도구로는 대응이 불가능하며, AI를 위한 완전히 새로운 보안 도구와 패러다임을 개발해야 합니다. 모델 스캐닝이나 Agent 행동 모니터링 같은 기술들이 바로 이 영역에서 필요한 혁신입니다.

이 4분면 모델의 가장 큰 장점은 위협이 어느 사분면에 속하는지만 파악하면, 그에 맞는 대응 전략을 명확하게 선택할 수 있다는 점입니다. 단순히 “AI 보안”이라는 막연한 개념이 아니라, 각 위협의 성격에 따라 구체적으로 무엇을 해야 하는지 알려주는 실용적인 프레임워크입니다.

2. Securing AI Workloads with Wiz

“우리 환경에서 AI를 어디에 사용하고 있는가?” 이 단순한 질문에 답하기가 왜 이렇게 어려울까요? AI 보안의 점들을 연결하는 것이 매우 어렵기 때문입니다.

모델 호스팅부터 복잡합니다. SaaS는 최소한의 제어나 가시성만 제공하는 블랙박스 API이고, Amazon Bedrock 같은 PaaS는 부분적인 제어와 플랫폼 가드레일을 제공하며, IaaS는 EC2나 EKS, 온프레미스에서 자체 호스팅하는 방식으로 완전한 런타임 책임을 갖습니다. 문제는 각 환경마다 리스크 발견과 상관관계 분석이 다르게 작동한다는 것입니다.

Agent도 마찬가지입니다. SaaS Agent 빌더와 오케스트레이션 플랫폼, Lambda나 ECS, EKS에서 실행되는 클라우드 호스팅 MCP 서버, IDE나 브라우저, 엔드포인트에 내장된 로컬 런타임 등 여러 환경에서 작동합니다. 이들의 접근 권한, 행동, 권한을 여러 레이어에 걸쳐 통합하기가 어렵습니다.

데이터 파이프라인은 하이브리드하고 동적입니다. Microsoft 365, Google Workspace 같은 SaaS 파일 저장소, S3, DynamoDB, RDS 같은 클라우드 네이티브 스토리지, 그리고 임시 런타임 스토리지, 임베딩 저장소, 벡터 DB 등이 섞여 있습니다. 민감한 데이터와 노출 경로를 매핑하는 것이 아키텍처마다 일관성 없이 동작합니다.

Identity와 권한 역시 모든 곳에서 다르게 작동합니다. 클라우드 IAM 역할, 서비스 계정, 정책이 있고, SaaS 권한, 외부 공유, 링크 기반 접근이 있으며, Agent 레벨의 실행 범위가 있습니다. 진짜 영향 범위를 이해하려면 각 권한 모델마다 다른 로직이 필요합니다.

문제는 이 네 가지 영역을 동시에 볼 수 있는 도구가 거의 없다는 점입니다. Wiz의 Security Graph는 바로 이 지점에서 강점을 발휘합니다.

Wiz는 AI 워크로드 보안을 리스크 유형별로 네 가지 영역으로 분류합니다.

1. Shadow AI 탐지

먼저 Shadow AI를 찾아내는 것이 출발점입니다. Agents, Models, Tools, MCP, Software, Data 등 승인되지 않은 AI 사용 현황을 파악해야 합니다. 모든 클라우드 환경, SaaS 환경, 코드 저장소를 연결해서 전체 개발 라이프사이클의 AI 사용을 자동으로 식별합니다. 코드의 AI SDK, 클라우드의 Bedrock 서비스, S3의 학습 데이터셋까지 탐지합니다.

특히 이번 주 GA된 Service Catalog 기능으로 모든 리소스를 애플리케이션 단위로 자동 그룹핑하고, “AI 포함 여부” 필터로 AI 애플리케이션 목록을 즉시 확인할 수 있습니다. DeepSeek 발표 후 1주일 만에 10%의 클라우드 환경에서 사용되었다는 사실은 Shadow AI의 위험성을 보여줍니다. 또한 모델의 전체 계보(lineage)를 추적하여 어떤 학습 데이터셋이 사용되었는지까지 확인 가능합니다.

2. Infrastructure Risk 스캔

기존 인프라 보안 리스크를 AI 환경으로 확장합니다. CIEM, Exposure, Vulnerabilities, Malware, Data, Secrets 등을 스캔합니다. Identity 스캐너는 Agent 권한을 분석하고, 취약점 스캐너는 모델과 AI SDK를 검사하며, 네트워크 스캐너는 인터넷 노출을 탐지합니다. 수십 개의 AI 특화 Policy가 Bedrock, SageMaker 등 AWS AI 서비스의 보안 설정을 자동 검증합니다.

3. AI Native Risk 탐지

AI 고유의 리스크를 다룹니다. Malicious Models, Tampered Models, Data Poisoning, Insecure Guardrails, Insecure System Prompts, Malicious MCP 등을 탐지합니다. 모델 스캐닝으로 악성 모델이나 의도하지 않은 동작을 찾아냅니다.

핵심은 모든 스캔 결과가 Security Graph에 통합된다는 점입니다. 외부 노출된 MCP → 과도한 권한의 클라우드 역할 → 민감 데이터 접근 가능으로 이어지는 Attack Path를 자동으로 탐지하고, “독성 조합(Toxic Combination)”을 찾아내 우선순위를 부여합니다.

4. AI Runtime Threat 모니터링

런타임 위협은 AI Native Threat와 Infra Threat로 나뉩니다. AI Native Threat에는 Prompt Injection, Model Escape가 있고, Infra Threat에는 Account Takeover, Data Exfiltration, Denial of Service가 있습니다. Wiz Defend의 런타임 센서는 AI 모델이 실행되는 호스트를 모니터링하여 이러한 위협을 실시간 탐지합니다. 컨트롤 플레인 이상 활동 모니터링으로 LLM Hijacking 공격도 포착합니다.

3. One Step Ahead: Attack Surface Validation with Wiz

이번에 정식 출시된 Attack Surface Management(ASM) 기능은 Wiz만의 차별점을 보여줍니다. 일반적인 ASM 도구는 외부에서 노출된 자산을 스캔하지만, 내부 컨텍스트가 부족해서 Triage가 어렵습니다. Wiz ASM은 Security Graph와 완전히 통합되어 있습니다.

먼저 Wiz가 환경에 연결되면, 잠재적으로 노출될 수 있는 모든 것을 분석합니다. 체크박스로 인해 퍼블릭이 된 것들(Serverless 함수, S3 버킷), 인터넷 대면 애플리케이션들(Gateway, Load Balancer), Public Repository 등을 먼저 파악합니다.

그 다음 이러한 자산들을 실제로 외부에서 스캔하여 검증합니다. 기술 스택이 무엇인지 fingerprint하고(PostgreSQL인지, Jenkins인지), 여러 리스크와 위협을 실시간으로 테스트합니다. 디폴트 admin 자격증명으로 PostgreSQL을 열었는지, 설정 파일 접근을 허용하는 Jenkins 설정 오류가 있는지, 악용 가능한 취약점이 노출되어 있는지 등을 확인합니다. 공격자가 하는 방식 그대로 재현합니다.

하지만 외부 스캔만으로는 첫 단계일 뿐입니다. 일반적인 ASM 도구는 외부 발견사항을 제공하면, 그것을 Triage하고 누가 리소스를 소유하는지 찾고 어디서 실행 중인지 찾는 것은 사용자의 몫입니다. 클라우드에서는 ephemeral할 수 있어서 이미 사라졌을 수도 있고, 소유자가 누구인지 파악하기 어렵습니다. 하지만 Wiz는 다릅니다.

Security Graph를 통해 해당 리소스가 무엇에 접근할 수 있는지 분석합니다. 어떤 리소스가 실제로 이 엔드포인트를 노출시켰는지 알고 있고, 무엇에 접근할 수 있는지도 압니다. 샌드박스 환경인지, 아니면 핵심 데이터베이스로 가는 메인 경로인지 파악하여 영향 분석을 제공합니다. 검증된 노출과 검증된 영향을 함께 제공하여 우선순위를 더 잘 매길 수 있습니다.

또한 누가 소유자인지도 알고 있습니다. 코드 분석을 통해 클라우드 리소스와 코드 기여자를 연관시켜, 누가 리소스를 소유하고 누가 고칠 수 있는지 파악합니다. 이를 통해 티켓팅, PR 등 대응을 자동화하여 가능한 한 빠르게 해결할 수 있습니다. 우리가 찾을 수 있다면 위협 행위자도 찾을 수 있기 때문입니다. 사고가 되기 전에 SOC 수준의 발견사항을 만드는 것이 목표입니다.

무엇보다 인상적인 것은 별도의 에이전트 배포가 필요 없다는 점입니다. 클라우드 환경 접속을 위한 토큰만 있으면 됩니다. 환경을 스캔하고 중요한 Attack Surface 발견사항을 표면화하여 오늘 바로 대응할 수 있습니다.

4. AI Agents to the rescue

Wiz는 창립 때부터 도구보다 운영 모델 변화를 강조해왔습니다. 보안 이슈를 개발팀에 민주화(Democratization)하여 개발자가 직접 수정하게 만들면, 보안팀 병목이 해소됩니다. 이를 통해 Shift-left 문화가 확산되어 문제를 사전에 예방할 수 있고, 환경이 정리되면 SecOps는 실시간 위협 탐지와 대응에 집중할 수 있습니다.

이 모든 것의 기반은 Security Graph였습니다. Graph는 우선순위 결정과 시각적 설명, 그리고 이제는 Agent에게 지식을 전달하는 핵심 역할까지 수행합니다.

API-first 시대 다음은 MCP-first입니다. Wiz는 외부 MCP 서버를 제공하여, 다양한 팀과 도구가 자신의 워크플로우 안에서 Wiz의 Security Graph와 같은 보안 컨텍스트에 접근하고 활용할 수 있도록 합니다.

Grammarly 사례가 인상적이었습니다. SOC에 MCP를 통합하여 클라우드 리소스 컨텍스트를 제공한 결과, 클라우드 위협 대응 시간을 90% 단축했습니다. MCP는 위협 인텔리전스, SIEM, 티켓팅 시스템 등과도 연계되어 커스텀 보안 엔진을 구축할 수 있습니다.

SOC 분석가의 위협 조사 프로세스(그래프 쿼리, 종속성 분석 등)를 템플릿화하여 지식 베이스로 구축했습니다. SecOps Agent는 Graph 쿼리 방법을 학습했고, Wiz의 모든 API를 도구로 활용합니다(이슈, 취약점, 이벤트 읽기 등). Wiz Defend의 모든 위협은 자동으로 조사됩니다.

중요한 건 완전한 설명 가능성입니다. 조사 과정의 모든 단계를 드릴다운할 수 있어, 분석가는 베스트 프랙티스를 학습하고 조직은 프로세스를 지속 개선할 수 있습니다.

Agent는 최종 Verdict를 제공합니다. “이전에도 무시했던 패턴이므로 자동 무시 권장”, “Medium으로 보이지만 비정상적이므로 Critical로 상향” 같은 판단과 함께 Malicious/Benign/Automated Test 여부, 진짜 심각도를 제시합니다. SOC 분석가는 하루 5건이 아닌 50건을 처리할 수 있게 되고, False Positive 제거를 넘어 실제 Hunting과 Medium Severity 위협 분석에 더 많은 시간을 쓸 수 있습니다.

개발팀은 “여기는 건드리면 안 되고, 저기를 고쳐야 해”, “이 권한은 안 쓰니까 제거해도 돼” 같은 암묵지를 가지고 있습니다. Remediation Agent는 이런 질문을 순차적으로 수행합니다.

퍼블릭 노출이 실제 사용 중인지, 권한이 실제 활용되는지, 리소스 수정의 영향 범위는 어떤지, 종속성은 없는지 분석합니다. 또한 포털에서 클릭 한 번으로 수정 가능한지(Click-ops), 아니면 CloudFormation/Terraform 코드 수정이 필요한지 판단하고, 후자면 개발자를 식별하여 PR을 자동 생성합니다.

공유하기