“한국 기업의 절반 이상이 AI와 머신러닝 모델 운영에 앱과 서비스를 연결하는 데이터 통로로 응용프로그램 인터페이스(API)를 활용하지만 보안 대응은 취약합니다.”
이형욱 F5코리아 지사장과 이진원 상무는 29일 강남 F5코리아 사무실에서 기자간담회를 열고 이같이 말했다.
글로벌 보안 기업 F5가 발표한 보고서에 따르면 한국 기업 절반 이상이 AI와 머신러닝 모델 운영에 앱과 서비스를 연결하는 데이터 통로(API)를 적극 활용하고 있는 것으로 나타났다. 한국 기업의 68%는 해당 통로 보안을 ‘사업에 중대한 요소’로 꼽았지만, 실제로 충분히 대비했다고 답한 곳은 40%에 그쳤다.
모한 벨루 F5 CTO(최고기술책임자)는 “AI 에이전트의 속도와 자율성을 고려하면, 보안은 기업 운영 전반에 내재해야 한다”며 “인증·권한 검증·실시간 모니터링이 필수적”이라고 제언했다.
에이전트 AI는 사용자가 요청하면 스스로 생각하고 판단해 행동까지 실행할 수 있는 AI 모델이다. 예를 들어 이번 추석에 “서울 여의도 부근 5성급 호텔 중 가장 별점이 높은 호텔을 찾아서 예약해줘”라는 요청을 하면 AI가 웹에서 조건에 맞는 호텔들을 찾아 MCP(모델 컨텍스트 프로토콜)을 통해 예약플랫폼에서 예약까지 진행할 수 있다.
다양한 에이전트 모델들은 다양한 애플리케이션과 연동되고 이 연동 데이터를 처리하는 통로로 API를 활용하고 있는 것이다.
이에 F5는 API 보안을 강화해야 한다고 강조했다. 마노즈 메논 “트윔빗 CEO도 “보안 격차가 곧바로 전략적 취약점으로 이어진다”며 강력한 거버넌스와 일관된 관리 체계가 필요하다”고 했다.
오래된 ‘좀비 통로’와 관리되지 않는 ‘섀도 통로’도 보안 사각지대로 남아 악용될 수 있다. F5는 특히 문서화되지 않거나 사용처가 불분명한 통로가 공격자에 의해 우회 접근 경로로 쓰일 가능성이 높다고 경고했다.
이에 F5는 API 보안과 관련해 최고경영진(C레벨)이 API(데이터 연결 통로)에 대한 엔드투엔드 거버넌스 책임을 명확히 가져야 한다고 조언했다. 이어 통로의 발견→설정→운영(런타임)→테스트로 이어지는 전 수명주기 관리 체계를 자동화해 취약 지점을 줄여야 한다고 강조했다.
또 AI 에이전트별 행동 패턴을 인식할 수 있는 실시간 트래픽 모니터링을 도입해 비정상적 행위를 조기에 탐지해야 한다. OWASP 등 검증된 국제 기준을 기반으로 권한 검증과 설정 오류 탐지를 일관되게 적용해야 한다. API(데이터 통로) 동작을 비즈니스 목표와 연계해 ‘무엇을, 어떤 조건에서’ 자동화할지를 명확히 정의하고 감독할 수 있는 아키텍처를 갖춰야 한다.
이형욱 지사장은 “최근 칼립소 AI 인수로 AI 관련 보안 기술을 확장하고 있다”며 “AI 도입은 사업 혁신의 기회이지만, 통로 관리를 소홀히 하면 신뢰 훼손과 규제 리스크로 이어질 수 있다”고 말했다.
한편 이날 F5가 제시한 연구 결과는 트윔빗이 올해 상반기에 F5를 대신해 에이전틱 AI 시대 아시아태평양 지역의 API 보안 현황을 평가한 결과다. 보안·DevOps·SecOps·애플리케이션 개발 등 다양한 분야의 전문가 1000명을 대상으로 했다. 응답자는 한국을 비롯해 호주, 중국, 인도, 인도네시아, 일본, 말레이시아, 뉴질랜드, 싱가포르, 대만 등 아시아태평양 10개국에 분포했다.