
과학기술정보통신부는 한국인터넷진흥원(KISA)과 AI 서비스 보안 위협 대응 역량을 강화하기 위해 'AI 보안 위협 대응 매뉴얼'과 'AI 보안 레드티밍 가이드'를 발간했다고 8일 밝혔다.
최근 AI 기술이 다양한 산업과 서비스에 빠르게 확산되면서 프롬프트 인젝션과 권한 오남용, 데이터 유출 등 새로운 보안 위협도 증가하고 있다. 과기정통부는 기존 정보보호 체계만으로 대응하기 어려운 AI 보안 특성을 고려해 실제 공격자 관점에서 취약점을 찾아 대응하는 AI 레드팀 운영 기준을 마련했다.
'AI 보안 위협 대응 매뉴얼'에는 데이터와 모델, 에이전트, 공급망, 고성능 모델 등 AI 보안 위협 분류 체계와 금융, 의료, 공공·행정, 교육, 제조·에너지, 통신, 법률, IT 등 8개 분야별 위협 시나리오와 대응 방안이 담겼다. 경영진에게는 주요 위험 사례를, 실무자에게는 AI 보안 위협 진단과 대응 기준을 제시한다.
'AI 보안 레드티밍 가이드'는 AI 레드팀 기획과 구성부터 준비, 수행, 결과 보고까지 전 과정을 담았다. 체크리스트와 점검 도구, 직무기술서도 포함했다. 국제표준안인 ISO/IEC 42119-7을 반영해 현장 활용성과 국제 호환성을 높였다.
과기정통부는 AI 에이전트 확산으로 새로운 보안 위협이 증가하는 만큼 이번 가이드가 AI 서비스를 개발·운영하는 기업과 AI 보안 전문기업 등에서 폭넓게 활용될 것으로 기대했다.
임정규 과기정통부 정보보호네트워크정책관은 "AI 기술 확산과 함께 보안 위협도 빠르게 진화하고 있다"며 "이번 가이드가 AI 서비스 보안 수준을 높이는 실질적인 기준이 되기를 기대한다"고 말했다. 이어 "AI 보안 레드팀 사업을 통해 공격 시나리오와 적용 분야를 지속적으로 확대하고 최신 AI 기술을 반영해 검증 체계를 고도화하겠다"고 밝혔다.




