AI 시대의 데이터 및 ID sprawl 해결을 위한 Context 중심 Security 설계

ATLSECCON 2026: Context, Identity, and Restraint in Modern Security

Dwayne McDaniel2026년 5월 4일9분advanced

AI 요약

Context

전통적인 Access Control 및 단순 저장소 위생 중심의 보안 체계가 AI 기반의 고속 데이터 처리 환경에서 한계를 노출함. 데이터의 단순 분류(Classification)만으로는 시간 경과에 따른 의미 변화와 AI에 의한 데이터 오염 및 무기화 리스크를 방어하기 어려운 상황임.

Technical Solution

Data Half-Life 개념 도입을 통한 불필요한 데이터 축적 억제 및 Blast Radius 최소화 설계
단순 취약점 탐지에서 벗어나 Preventable, Exploitable, Meaningful Impact라는 3가지 기준의 Exposure Management 모델 적용
AI Agent를 일반적인 Non-human Identity로 정의하여 Runtime 수준에서 거버넌스 및 권한 제어 체계 통합
패턴 엔진인 AI에 의도(Intent)를 부여하는 Toxic Anthropomorphism를 배제하고 결정론적 가드레일 설계
가시성(Visibility) 확보를 위해 단순 아티팩트 수집이 아닌 의도와 시퀀스를 재구성하는 Observability 구조 채택

실천 포인트

- 보유 중인 데이터의 유효 기간(Half-life)을 설정하고 자동 삭제 파이프라인을 구축했는가 - 취약점 우선순위를 결정할 때 비즈니스 영향도와 실제 공격 가능 경로(Attack Path)를 결합하여 분석하는가 - AI Agent에게 부여된 권한이 Non-human Identity 관리 체계 내에서 통제되고 있는가 - 로그 수집 시 단일 이벤트가 아닌 전체 실행 시퀀스와 컨텍스트를 추적할 수 있는 구조인가

태그

#Non-Human Identity #Blast Radius #Identity Governance #Exposure Management #Observability

원문 읽기