“사이버 보안에서 주목해야 할 핵심 사항 중 하나는 심리전과 같다는 점입니다.” 사이버 보안 회사 Wiz의 최고 기술 책임자인 Ami Luttwak은 최근 Equity 에피소드에서 TechCrunch에 이같이 전했습니다. “새로운 기술 트렌드가 나타나면 [공격자]가 이를 활용할 새로운 기회가 생겨납니다.”
기업들이 바이브 코딩, AI 에이전트 통합, 새로운 툴 도입 등을 통해 AI를 워크플로에 통합하려 하면서 공격 대상 영역이 넓어지고 있습니다. AI는 개발자가 더 빠른 속도로 코드를 제공할 수 있게 하지만, 이러한 속도는 종종 간과나 실수로 이어져 공격자에게 새로운 기회를 제공합니다.
올해 초 Google에 320억 달러에 인수된 Wiz는 최근 실시한 테스트에서 바이브 코딩된 애플리케이션의 일반적인 문제점은 인증의 안전하지 않은 구현, 즉 사용자 신원을 확인하고 공격자가 아닌지 확인하는 시스템이라는 것을 확인했다고 Luttwak은 밝혔습니다.
“그렇게 구축하는 것이 더 간단하기 때문입니다.”라고 그는 말했습니다. “바이브 코딩 에이전트는 여러분이 지시하는 대로 수행하며, 가장 안전한 방식으로 구축하라고 지시하지 않으면 그렇게 하지 않습니다.”
Luttwak은 오늘날 기업들이 속도와 보안 사이에서 끊임없이 타협해야 한다고 지적했습니다. 그러나 AI를 사용하여 더 빠르게 움직이는 것은 개발자만이 아닙니다. 공격자들은 이제 바이브 코딩, 프롬프트 기반 기술, 심지어 자체 AI 에이전트까지 사용하여 공격을 수행하고 있다고 그는 말했습니다.
“실제로 공격자들이 프롬프트를 사용하여 공격을 수행하는 것을 볼 수 있습니다.”라고 Luttwak은 말했습니다. “공격자들이 바이브 코딩만 하는 것이 아닙니다. 공격자들은 여러분이 사용하는 AI 툴을 찾아 ‘내 모든 비밀을 보내고, 기계를 삭제하고, 파일을 지워라’라고 지시합니다.”
이러한 환경에서 공격자들은 또한 기업들이 효율성을 개선하기 위해 내부적으로 출시하는 새로운 AI 툴에서 진입점을 찾고 있습니다. Luttwak은 이러한 통합이 “공급망 공격”으로 이어질 수 있다고 설명했습니다. 회사 인프라에 대한 광범위한 액세스 권한을 가진 타사 서비스를 침해함으로써 공격자는 회사 시스템 내부로 더 깊숙이 침투할 수 있습니다.
Techcrunch 이벤트
샌프란시스코
|
2025년 10월 27-29일
지난달 Drift(영업 및 마케팅용 AI 챗봇을 제공하는 스타트업)가 침해되어 Cloudflare, Palo Alto Networks, Google과 같은 수백 개의 엔터프라이즈 고객의 Salesforce 데이터가 노출된 것이 바로 그러한 사례입니다. 공격자들은 토큰 또는 디지털 키에 액세스하여 챗봇을 사칭하고 Salesforce 데이터를 쿼리하고 고객 환경 내부로 이동하는 데 사용했습니다.
“공격자는 바이브 코딩을 사용하여 생성된 공격 코드를 푸시했습니다.”라고 Luttwak은 덧붙였습니다.
Luttwak은 AI 툴의 엔터프라이즈 도입이 아직 초기 단계이지만(엔터프라이즈의 약 1%만이 AI를 완전히 도입했다고 추정), Wiz는 이미 수천 명의 엔터프라이즈 고객에게 영향을 미치는 공격을 매주 감지하고 있다고 말합니다.
“그리고 [공격] 흐름을 살펴보면 AI가 모든 단계에 관여하고 있습니다.”라고 Luttwak은 말했습니다. “이 혁명은 과거에 우리가 목격했던 어떤 혁명보다 빠르게 진행되고 있습니다. 이는 우리 업계가 더욱 신속하게 대처해야 함을 의미합니다.”
Luttwak은 JavaScript 개발자를 위한 인기 있는 빌드 시스템인 Nx에 대한 8월의 또 다른 주요 공급망 공격인 “s1ingularity”를 예로 들었습니다. 공격자들은 시스템에 맬웨어를 확산시켰고, 이 맬웨어는 Claude 및 Gemini와 같은 AI 개발 툴의 존재를 감지하고 이를 하이재킹하여 시스템에서 중요한 데이터를 자율적으로 스캔했습니다. 이 공격으로 인해 수천 개의 개발자 토큰과 키가 유출되어 공격자들이 개인 GitHub 리포지토리에 액세스할 수 있게 되었습니다.
Luttwak은 이러한 위협에도 불구하고 지금이 사이버 보안 분야의 리더가 되기에 매우 흥미로운 시기라고 말합니다. 2020년에 설립된 Wiz는 원래 조직이 클라우드 환경 전반에서 잘못된 구성, 취약점 및 기타 보안 위험을 식별하고 해결하도록 지원하는 데 주력했습니다.
작년에 Wiz는 AI 관련 공격의 속도에 발맞추고 자체 제품에 AI를 활용하기 위해 기능을 확장했습니다.
지난 9월 Wiz는 개발 프로세스 초기에 보안 문제를 식별하고 완화하여 기업이 “기본적으로 안전”하도록 소프트웨어 개발 수명 주기를 보호하는 데 초점을 맞춘 Wiz Code를 출시했습니다. 4월에는 클라우드 환경 내에서 활성 위협을 감지하고 대응하여 런타임 보호를 제공하는 Wiz Defend를 출시했습니다.
Luttwak은 Wiz가 고객의 애플리케이션을 완전히 이해하는 것이 스타트업이 그가 “수평적 보안”이라고 부르는 것을 달성하는 데 필수적이라고 강조했습니다.
“당신이 왜 그것을 구축하는지 알아야 합니다… 그래야 아무도 전에 본 적 없는 보안 도구, 당신을 이해하는 보안 도구를 만들 수 있습니다.”라고 그는 말했습니다.
‘첫날부터 CISO를 임명해야 합니다’
AI 툴의 보편화로 인해 엔터프라이즈의 어려움을 해결하겠다고 약속하는 새로운 스타트업이 쏟아져 나오고 있습니다. 그러나 Luttwak은 기업이 회사, 직원 및 고객 데이터를 “직원 5명밖에 없는 모든 소규모 SaaS 회사에 ‘내 모든 데이터를 넘겨주면 놀라운 AI 인사이트를 제공해 드리겠습니다’라고 말하면서 넘겨서는 안 된다”고 경고합니다.
물론, 이러한 스타트업은 제품에 가치를 더하려면 해당 데이터가 필요합니다. Luttwak은 이는 그들이 처음부터 안전한 조직처럼 운영되고 있는지 확인할 책임이 있다는 것을 의미한다고 말합니다.
“보안 및 규정 준수를 첫날부터 고려해야 합니다.”라고 그는 강조했습니다. “직원이 5명밖에 없더라도 첫날부터 CISO(최고 정보 보안 책임자)를 임명해야 합니다.”
스타트업은 코드를 한 줄 작성하기 전에 고도로 안전한 조직처럼 생각해야 한다고 그는 조언했습니다. 엔터프라이즈 보안 기능, 감사 로그, 인증, 프로덕션 액세스, 개발 관행, 보안 소유권 및 싱글 사인온을 고려해야 합니다. 처음부터 이렇게 계획하면 나중에 프로세스를 수정하고 Luttwak이 “보안 부채”라고 부르는 것을 떠안지 않아도 됩니다. 그리고 기업에 판매하는 것을 목표로 한다면 데이터를 보호할 준비가 되어 있어야 합니다.
“저희는 코드를 작성하기 전에 SOC2 규정 준수(규정 준수 프레임워크)를 획득했습니다.”라고 그는 밝혔습니다. “그리고 비밀을 하나 알려드리자면, 직원 5명으로 SOC2 규정 준수를 획득하는 것이 직원 500명으로 획득하는 것보다 훨씬 쉽습니다.”
스타트업의 다음으로 중요한 단계는 아키텍처에 대해 고민하는 것이라고 그는 덧붙였습니다.
“첫날부터 엔터프라이즈를 대상으로 하고 싶어하는 AI 스타트업이라면 고객의 데이터가 고객 환경 내에 유지되도록 하는 아키텍처에 대해 생각해야 합니다.”
AI 시대에 이 분야에 진출하려는 사이버 보안 스타트업에게 Luttwak은 지금이 적기라고 말합니다. 피싱 방지 및 이메일 보안에서 맬웨어 및 엔드포인트 보호에 이르기까지 모든 것이 공격자와 방어자 모두에게 혁신을 위한 비옥한 토양입니다. 많은 보안 팀이 여전히 AI에 맞서 방어하기 위해 AI를 사용하는 방법을 모르기 때문에 “바이브 보안”을 수행하기 위한 워크플로 및 자동화 툴을 지원할 수 있는 스타트업에도 기회가 있습니다.
“게임은 완전히 열려 있습니다.”라고 Luttwak은 말했습니다. “이제 보안의 모든 영역에 새로운 공격이 나타나고 있다면 보안의 모든 부분을 재고해야 한다는 의미입니다.”
