무슨 일이 있었나
Cobalt의 2026 State of Pentesting Report에 따르면 침투 테스트 중 발견된 모든 AI 및 LLM 결과의 32%가 고위험으로 평가되었으며, 이는 전통적인 엔터프라이즈 보안 테스트에서 관찰된 비율(13%)의 2.5배입니다. 또한 이 보고서는 LLM 취약점이 테스트된 모든 애플리케이션 유형 중 가장 낮은 개선율(38%)을 가지고 있으며, 5개 조직 중 1개가 지난 1년간 LLM 보안 사건을 경험했다고 보고했음을 발견했습니다.
왜 중요한가
이는 AI 시스템이 레거시 애플리케이션보다 근본적으로 더 위험한 공격 표면을 도입한다는 것을 정량화하는 첫 번째 대규모 실증적 증거이며, 프롬프트 인젝션, 안전하지 않은 플러그인, 과도한 에이전트 권한이 여러 내부 시스템에 걸친 영향 범위를 만듭니다. 38% 개선율은 개발 팀이 기존 주입 결함처럼 플레이북이 성숙한 전통적인 방식과 달리 AI 특정 취약점을 수정하기 위한 확립된 패턴이 부족함을 나타냅니다.
적용 범위
LLM 통합 시스템을 배포하거나 평가 중인 조직은 보안 예산에 이 2.5배 위험 배수를 반영하고, AI 특정 침투 테스트를 우선시하며, 특히 도구 사용 기능이 있는 에이전트 시스템에 대해 개발 팀에 AI 취약점 개선 패턴에 대한 교육 투자를 해야 합니다.