전자정부 표준프레임워크에서 990건의 보안 취약점을 찾아낸 공익 AI 보안 연합체 '프로젝트 캐노피'에 아톤이 합류했다. AI가 찾아낸 취약점과 패치 정보를 민간 보안기업의 실제 관제·방어 체계에 연결하는 움직임이 본격화하는 모습이다.
16일 업계에 따르면 아톤은 프로젝트 캐노피의 '디펜딩 파트너'로 참여한다. 디펜딩 파트너는 캐노피가 분석한 취약점과 패치 정보를 공유받아 자사 보안 체계에 반영하고, 점검이 필요한 오픈소스나 인프라를 캐노피에 분석 대상으로 제안할 수 있는 그룹이다.
아톤은 지난해 설립한 시큐리티센터를 통해 AI 기반 보안관제와 통합 보안 서비스를 운영하고 있다. 앞으로 캐노피가 확보한 취약점 대응 정보를 내부 보안 체계에 적용하고, 이를 고객사와 산업 현장으로 확산하는 역할을 맡는다.
이번 합류는 캐노피가 최근 첫 분석 결과를 공개한 직후 이뤄졌다. 캐노피는 정부와 공공·민간 시스템 구축에 폭넓게 활용되는 전자정부 표준프레임워크의 공통 컴포넌트를 분석해 990건의 구조적 결함과 보안 취약점을 확인했다.
이 가운데 약 10%는 '심각' 또는 '높음' 등급으로 분류됐다. 비밀번호 없이 다른 계정으로 접속할 수 있는 인증 우회와 임의 SQL 실행, 고정 암호키 노출, 권한 상승으로 이어질 수 있는 직접 객체 참조 취약점 등이 포함됐다.
전자정부 표준프레임워크는 외부 라이브러리를 단순 업데이트하는 방식이 아니라 소스 코드를 복사해 사용하는 경우가 많다. 취약한 코드가 여러 기관과 기업 시스템에 흩어져 적용되면 원본이 수정되더라도 개별 시스템에는 패치가 반영되지 않는 이른바 '패치 고립'이 발생할 수 있다.
캐노피가 보안기업과 기관의 참여를 확대하는 것도 이 때문이다. AI를 활용하면 방대한 코드에서 취약점 후보를 빠르게 찾을 수 있지만, 실제 위험 여부를 검증하고 패치를 만들어 현장 시스템까지 전달하려면 기업과 기관 간 협업이 필요하다.
캐노피는 지난달 출범 당시 두나무와 LG유플러스, 포스코DX, 한화손해보험, 티오리한국 등을 핵심 운영 주체인 스튜어드로 구성했다. SK AX와 LG전자, 금융결제원, 현대자동차그룹 등도 초기 파트너로 참여했으며, 최근 참여 기관은 30곳 이상으로 늘었다.
미국 AI 기업 앤트로픽의 보안 프로젝트 '글래스윙' 참여 과정에서 해외 AI 모델 접근 제한 문제가 불거진 이후, 국내 기술과 기업을 중심으로 자체적인 취약점 탐지·대응 생태계를 구축하려는 움직임도 캐노피 출범의 배경이 됐다.