"생체인증 넘어 AI 에이전트도 승인"…옥타코, '이지핑거' 고도화

피싱 저항 MFA 솔루션 업그레이드…"AI 위험한 행위 사전 차단"

(지디넷코리아=김기찬 기자)아이덴티티 및 접근관리(IAM) 전문 기업 옥타코가 자사 생체인증 솔루션을 인공지능(AI)의 행동 승인 장치로 고도화할 방침이다. 생체 인증뿐 아니라 AI 중요하거나 위험할 수 있는 일을 함부로 실행하지 못하도록 막는 일종의 '안전장치'로 기능을 확대하겠다는 복안이다.

이재형 옥타코 대표는 24일 지디넷코리아와 만나 "옥타코 '이지핑거' 솔루션을 AI 자율행동 실행을 인간이 승인하도록 통제하는 장치로 고도화할 계획"이라고 밝혔다.

PC에 옥타코 이지핑거 제품이 연결된 모습.

이지핑거는 PC 로그인은 물론, 구글, 마이크로소프트 등의 로그인 과정에서 비밀번호 입력 없이 지문 인증 만으로 로그인이 가능한 솔루션이다. 현존하는 가장 강력한 보안 국제 표준인 'FIDO2' 인증을 받은 솔루션으로, 피싱 레지스턴트 기반 MFA(다중 속성 인증) 제품으로 알려져 있다.

옥타코 MFA 솔루션 '이지핑거'의 AI 권한 승인 장치로 고도화 방안 개요.(사진=옥타코)

옥타코는 이지핑거 솔루션을 AI가 위험한 작업을 요청할 경우 사람이 직접 인증하고, 승인된 작업만 실행할 수 있도록 고도화한다는 방침이다. 이지핑거는 사용자가 직접 지문을 입력해야 하기 때문에 복제가 어렵고, 원격 공격자가 대신 누를 수 없다는 특징이 있다. AI가 혼자 결정하지 못하는 마지막 열쇠가 됨과 동시에 누구도 복제할 수 없는 나만의 열쇠가 되기도 한다.

옥타코는 이지핑거 보안키가 만든 승인 결과를 검증하는 서버를 거쳐 실제 사용자인지를 추가로 검증한다. 가짜 로그인 화면이나 피싱 사이트에 속지 않도록 설계된 옥타코 '피싱 레지스턴트(저항) MFA'를 통해서 승인한 사람, 시점, 대상 행동 등을 정확히 묶어 확인하는 절차를 거친다. 정말 본인이 이 작업을 승인했는지 판정하는 시스템이다.

이지핑거 및 옥타코 피싱 레지스턴트 MFA 핵심 역할.(사진=옥타코)

최근 IT 환경은 AI로 인해 급격하게 변했다. AI 에이전트가 단순히 사용자의 요청에 응답하는 것에서 나아가 스스로 판단하고 자율적으로 행동한다. 이 행동 과정에서 프롬프트 인젝션(가로채기) 등 악의적인 명령을 공격자가 내릴 수 있기 때문에 AI 에이전트의 행동을 실시간으로 모니터링하고, 권한에 제약을 둬야 할 필요가 있다.

AI를 쓰면서도 사람이 직접 통제할 수 없는 환경이 될 경우, AI가 고객 데이터를 외부로 보내도 즉시 대처하기 어렵다. 또한 공격자가 관리자 권한 변경을 유도할 수 있고, 중요 데이터를 AI가 임의로 삭제 또는 실행할 우려도 나온다. 이같은 일이 이미 벌어진 이후에는 누가 승인했는지 책임을 추적하기 어려운 상황이 빚어질 수도 있다.

실제 앤트로픽의 보안 특화 AI '미토스(Mythos)'가 취약점을 스스로 찾고 공격 코드까지 자동 생성하는 능력을 갖춘 AI가 악의적 공격자에게 악용될 경우 조직의 침해사고로 직결될 우려도 나온다. AI의 자율성이 높아질수록 공격에 악용될 가능성도 커지는 만큼 AI의 행동을 직접적으로 통제할 필요는 비례한다.

김기찬 기자(71chan@zdnet.co.kr)