AI보안9 728x90 AI 시스템 설계의 진화: Prompt · Context · Harness Engineering AI 지시 체계의 진화Prompt Engineering → Context Engineering → Harness Engineering생성형 AI와 AI Agent 시대에서는 단순히 “프롬프트를 잘 작성하는 것”만으로는 실제 운영 환경을 안정적으로 구축할 수 없습니다.특히 기업 환경에서는내부 데이터권한 체계보안 정책자동화 도구운영 절차감사 요구사항등이 모두 연결되기 때문에 AI 시스템 자체를 하나의 운영 플랫폼처럼 설계해야 합니다. 현재 업계는 대체로 아래 흐름으로 발전하고 있습니다.Prompt Engineering→ Context Engineering→ Harness Engineering이 세 가지는 서로 경쟁 관계가 아니라:하위 → 상위 계층구조입니다.┌───────────────────────────.. 2026. 5. 21. Codex Security & OpenAI Daybreak AI 기반 취약점 탐지 플랫폼 등장 OpenAI가 공개한 Daybreak는 단순한 “AI 보안 모델”이 아니라, AI를 활용해 공격자보다 먼저 취약점을 발견하고 검증·패치까지 연결하는 “공격 속도 대응형(Security Velocity)” 플랫폼 전략에 가깝습니다.특히 이번 발표는 Anthropic의 Claude Mythos / Project Glasswing에 대한 정면 대응 성격이 매우 강합니다.현재 AI 보안 경쟁은 단순 LLM 경쟁이 아니라 다음과 같은 방향으로 이동 중입니다.“누가 더 똑똑한 모델인가?”→ 과거 경쟁“누가 더 빠르게 취약점을 찾고 방어 자동화를 수행하는가?”→ 현재 경쟁“누가 AI 기반 보안 운영체계(Security Operating Layer)를 선점하는가?”→ 미래 경쟁Daybreak의 핵심 개념OpenAI가 .. 2026. 5. 6. AI 공격 시대 대응 전략: 해커 수준 도달 GPT-5.5가 바꾼 보안 패러다임 GPT-5.5 vs 미토스(Mythos)“AI가 해커 수준까지 왔다?” — 보안 관점에서 반드시 이해해야 할 핵심무엇이 실제로 일어난 것인가최근 보도는 단순한 AI 성능 경쟁이 아닙니다. 핵심은 다음 한 문장으로 정리됩니다.“AI가 취약점 탐지 → 공격 코드 작성 → 침투 시나리오 수행까지 자동화 가능한 수준에 도달했다”영국 AI 안전연구소(AISI)가 CTF 기반 테스트 수행평가 대상GPT-5.5앤트로픽의 Mythos(미토스)결과CTF 고난도 문제GPT-5.5: 71.4%미토스: 68.6%실전형 침투 시나리오GPT-5.5: 2/10 성공미토스: 3/10 성공즉,정형 문제(CTF) → GPT-5.5 강점복합 공격 흐름(TLO) → 미토스 약간 우세핵심 의미 – “이미 공격을 한다”가 아니라 “할 수 있는.. 2026. 5. 2. RAG·LLM 환경에서의 보안 통제 모델과 AI 보안 태세 관리(AI-SPM) 전략 AI-SPM은 한마디로 조직이 운영·사용 중인 AI(특히 LLM 포함) 자산의 보안 상태를 “지속적으로” 가시화하고, 위험을 평가·우선순위화하여, 수정·통제를 운영 프로세스에 내재화하는 체계입니다. 기존의 “정책/프레임워크 중심(무엇을/왜)” 관리가 있다면, AI-SPM은 “현장에서 실제로 탐지·평가·조치(어떻게)”가 돌아가도록 하는 실행형 보안 운영 모델에 가깝습니다.AI가 ‘도구’에서 ‘핵심 자산’으로 바뀜AI 모델(내부 모델/외부 API), 학습 데이터, 프롬프트, RAG 인덱스(벡터DB), 파이프라인(MLOps), 모델 배포 인프라가 비즈니스 핵심 경로로 들어왔습니다.따라서 “AI를 해킹하면 서비스/데이터/의사결정 전체가 흔들리는 구조”가 됩니다.기존 보안 영역(CSPM/ASPM/SSPM 등)만으.. 2026. 2. 26. 자동화 AI시대 프롬프트부터 에이전트까지, 개인정보 어디까지 통제할 것인가 보안(Security) 과 개인정보 보호(Privacy) 관점에서, AI Chat / AI Coding / AI Agent / 브라우저 확장 기반 AI를 “전체 라이프사이클(도입→운영→업데이트→감사)” 기준으로 정리한 가드레일 가이드입니다.AI 사용은 “데이터 처리 + 권한 실행” 시스템이다왜 보안/개인정보 관점이 동시에 필요한가보안: 계정·권한·시스템·코드·인프라에 대한 오남용/침해 방지개인정보 보호: 개인정보의 수집·이용·제공·보관·파기 전 과정 통제AI는 보통 다음 두 가지를 동시에 합니다.데이터를 읽음/요약함/분석함 (개인정보 처리 위험)도구(툴)를 통해 행동함 (보안 사고 위험)위협 모델(Threat Model) & 개인정보 위험 시나리오(A) 보안 위협 Top프롬프트 인젝션(Direct/Ind.. 2026. 1. 27. 이전 1 2 다음 728x90 728x90
