글로벌 리스크 관리 파트너인 LRQA는 AI 보안 혁신 기업 Simbian과 협력해 지속적인 AI 기반 침투 테스트 서비스를 선보였습니다. 이 솔루션은 자율 기반 테스트 기술과 숙련된 사이버 보안 전문가의 역량을 결합해 보다 효과적인 보안 검증을 지원합니다.
사이버 공격이 점점 더 자동화된 방식으로 고도화되고, 운영 회복력에 대한 규제 요구도 지속적으로 강화되면서 기존의 연 1회 침투 테스트 방식은 확장성 측면에서 점점 더 큰 한계에 직면하고 있습니다.
특히 금융 서비스나 기술 분야처럼 애플리케이션이 지속적으로 업데이트되는 산업에서는 빠른 소프트웨어 변화 속도와 드문 보안 검증 사이의 격차로 인해, 악용될 수 있는 취약점이 수개월 동안 발견되지 않은 채 남아 있을 수 있습니다.
Simbian의 AI Pentest Agent(AI 기반 침투 테스트 에이전트)는 애플리케이션의 반응에 따라 동적으로 적응하는 온디맨드 테스트를 수행합니다. 정적 규칙에 기반해 이론적인 경고를 생성하는 기존 취약점 스캐너와 달리, 이 에이전트는 실제로 취약점이 악용될 수 있는지를 판단하고 현실적인 비즈니스 영향도를 기준으로 우선순위를 설정합니다.
이를 통해 조직은 새롭게 공개된 보안 취약점을 다음 정기 평가까지 기다릴 필요 없이 즉시 평가할 수 있으며, 취약점 대응까지 걸리는 시간을 단축하는 데 도움을 받을 수 있습니다.
또한 LRQA는 이러한 자율 테스트 기능이 공인된 윤리적 해킹 방법론과 확립된 거버넌스 프레임워크 내에서 운영되도록 보장하며, 지속적인 AI 기반 테스트를 체계적인 리스크 관리 접근 방식 안에 통합해 제공합니다.
LRQA 사이버보안 부문 총괄 매니징 디렉터 Howard Hughes는 다음과 같이 말했습니다.:
“자동화는 사이버 위협 환경을 변화시키고 있으며, 이에 따라 사이버 리스크를 관리하는 방식 역시 변화해야 합니다. AI는 이전에는 불가능했던 수준의 깊이와 빈도로 지속적인 테스트를 가능하게 합니다. 그러나 효과적인 리스크 관리를 위해서는 맥락에 대한 이해, 책임 있는 관리, 그리고 전문적인 판단이 필요합니다. 우리의 역할은 자율 테스트를 통해 명확하고 우선순위가 정리된 인사이트를 제공하여, 조직의 의사결정자가 신뢰를 가지고 대응할 수 있도록 하는 것입니다.”
이 기술은 통제된 환경에서 파일럿 테스트를 통해 실제로 악용 가능한 취약점과 정적 스캔만으로는 발견하기 어려운 비즈니스 로직상의 결함을 식별할 수 있는지 검증되었습니다. 또한 실제 운영 시스템에서도 안전하게 작동하도록 설계되어 서비스 중단을 방지하는 보호 장치를 포함하고 있으며, 어떤 항목이 왜 테스트되었는지에 대한 전체 가시성을 제공합니다. 모든 데이터는 안전하게 보호되며 공용 AI 모델 학습에 사용되지 않습니다.
Simbian의 CEO이자 공동 창립자인 Ambuj Kumar는 다음과 같이 말했습니다:
“보안팀은 실제 위험으로 이어지지 않는 수많은 알림에 압도되는 경우가 많습니다. 우리의 AI Pentest Agent는 인간 공격자처럼 사고하고 테스트하도록 설계되어, 실제로 악용 가능한 취약점을 검증합니다. LRQA와의 협력을 통해 이러한 기술이 조직이 기대하는 수준의 엄격한 관리와 감독 아래에서 운영될 수 있도록 하고 있습니다.”
공격자들이 자동화를 활용해 활동 규모를 확대하는 가운데, 이번 협력은 이사회와 리스크 책임자들에게 사이버 전략의 새로운 방향을 제시합니다. 즉, 사람의 전문성을 기반으로 강화된 지속적인 보안 검증을 체계적인 리스크 관리 접근 방식 안에 통합하는 것입니다.
.
