오늘날 많은 기업들이 막대한 데이터 처리와 복잡한 트래픽 패턴, 진화하는 보안 위협에 대응하기 위해 AI 기반 애플리케이션을 도입하고 있다. 그러나 여전히 많은 기업들이 레거시 인프라에 제약을 받고 있다. 

멀티클라우드 애플리케이션 전송 및 보안 기업 F5(지사장 이형욱)가 연례 행사 'F5 솔루션 데이 2025'에 앞서, 기자간담회를 통해 자사의  AI 시대를 위한 차세대 애플리케이션 전송 솔루션 및 보안 전략을 공개했다.

이번 행사는 ▲이형욱 지사장의 환영사 및 AI를 이용한 비즈니스 전략 ▲모한 벨루(Mohan Veloo) F5아태지역 CTO의  AI 애플리케이션 전송 및 보안 혁신 'ADC 3.0' 소▲제임스 리 F5 아태지역 선임 솔루션 아키텍트의 AI 시대의 API 보안 전략 발표 순으로 진행됐다.

차세대 플랫폼은 AI 도입 과정 문제 해결과 강력한 보안과 성능 최적화 제공

이형욱 지사장은 현재 F5의 비즈니스 전략 중심을 ADC(Application Delivery Solution)  3.0이라고 밝혔다. ADC 1.0은 1999년 설립 이래 온프레미스 환경에서 웹 애플리케이션의 기본적인 가용성과 보안 확보에 사용됐고,  ADC 2.0클라우드 컴퓨팅 환경에 최적화되어 애플리케이션의 확장성, 유연성, 보안을 강화했다.

이제 AI 시대를 맞아 F5는 ADC 3.0으로 전환하며, 하이브리드, 멀티 클라우드, AI 기반 애플리케이션 환경에서 AI 워크로드 지원, 통합 보안, 지능형 자동화, 멀티 클라우드 전반의 일관성에 초점을 맞추고 있다. 즉, AI 및 API(애플리케이션 프로그래밍 인터페이스) 기반 환경에서 안전한 디지털 경험 제공에 집중하고 있다.

F5는 기업의 비즈니스를 위한 세 단계의 AI 도입 방법론을 제시했다. 우선 빠른 컴퓨팅과 정확한 데이터 필터링, 추론 모델 등을 비롯한 AI 인프라의 구축, 그 다음으로 다양한 AI 애플리케이션 간 API 기반의 연결망 구축, 마지막으로 전방위적으로 관리 및 보안을 지원하도록 백엔드 환경을 통해 보안적인 측면에서의 관리하는 단계를 제시했다. 

특히 마지막 단계에서 다양한 AI 애플리케이션의 연결로 멀티테넌트 환경이 구축되며, 이를 기반으로 더 많은 앱들이 더 많은 연결을 가지게 되며 고도화가 이뤄지게 된다. 이에 F5는 멀티테넌트 환경에서도 중단 없이 일정한 속도로 데이터의 연결을 지원하는 서비스를 제공하고 있다고 했다.

이형욱 지사장은 “F5의 차세대 플랫폼은 국내 기업들이 AI 도입 과정에서 직면하는 과제를 해결하는 동시에, 하이브리드 멀티클라우드 환경 전반에 걸쳐 강력한 보안과 최적의 성능을 제공한다.” 라며 “오늘날의 동적인 하이브리드 환경에 최적화된 아키텍처를 통해, 고객이 AI 도입을 가속하는 동시에 안전하고 고성능 애플리케이션을 제공하는 과정에서 증가하는 복잡성을 해결할 수 있도록 지원한다.”라고 말했다.

AI시대의 애플리케이션 지원하는 차세대 보안 인프라 'ADC 3.0'

모한 벨루 CTO는 “향후 3년 내에 전체 애플리케이션의 80%가 AI를 활용할 것으로 예상됨에 따라, 기업들은 방대한 데이터 요구와 복잡한 트래픽 패턴, 진화하는 보안 위협에 대비해야 한다.”라고 강조했다.

기업들이 하이브리드 및 멀티 클라우드를 채택하기 시작하며, 모바일 애플리케이션이 부상하고, API의 종류가 증가함에 따라 더욱 분산된 환경과 연결에 있어 거대한 메쉬(Mesh) 구조의 규모가 증가해, 결국 API 및 봇 위협 같은 새로운 보안 위협이 등장하고 있다.

모한 CTO는 “전통적인 인프라로는 이러한 미래 환경에 대응하기 어렵지만, F5는 ADC 분야에서 쌓아온 노하우를 기반으로 어디서나 AI 기반 애플리케이션을 지원하는 차세대 필수 인프라를 제공한다.”라며, F5의 애플리케이션 전송 및 보안 플랫폼(Application Delivery and Security Platform)은 AI로 인한 데이터 급증과 복잡한 트래픽 패턴, 진화하는 보안 위협에 효과적으로 대응할 수 있다고 강조 했다.  

이 플랫폼은 모든 앱 및 API 전송과 보안을 통합하며, 하드웨어, 가상 어플라이언스, 스마트 NIC, SaaS(서비스형 소프트웨어) 등 다양한 형태로 배포할 수 있다. 또한 일관된 보안 및 정책을 지원하고 풍부한 분석과 AI 어시스턴트 기능을 제공한다.

플랫폼에 탑재된 'F5 AI 게이트웨이(AI Gateway)', 'NGINX ONE AI 어시스턴트', 'BIG-IP AI 어시스턴트, iRules 코드 생성 및 구문 분석 등의 솔루션들은 AI를 활용해 복잡성을 줄이고, 운영을 간소화하며, 보안을 강화할 수 있도록 설계됐다.

모한 벨루 CTO는 “AI 도입은 빠르게 가속화되고 있으며 이미 65% 이상의 기업이 생성AI를 사용하고 있다. 그러나 이러한 도입은 데이터 분산, 시스템 가시성, 그리고 AI 환각, API를 통한 데이터 유출, 프롬프트 인젝션, 에이전틱 악성코드와 같은 보안 위협과 관련된 새로운 과제를 야기한다.”라고 전했다.

AI 시대, 웹 애플리케이션과 API가 직면한 보안 위협

F5가 곧 발표 예정인 '애플리케이션 전략(SOAS)' 보고서에 따르면, 약 75%의 기업이 AI에 기반한 IT 운영을 도입 중이거나 도입을 고려 중이다. 이는 AI가 하이브리드 클라우드 확장과 API 활용 증가에 중대한 영향을 미치고 있음을 보여준다. AI 엔진은 퍼블릭 클라우드와 온프레미스 환경 전반에 배포되며, 이들은 대부분 API를 통해 상호 연결된다. 이로 인해 API 보안은 AI/ML 모델 보호를 위한 최우선 과제로 부상하고 있다.

제임스 리 아키텍트는 AI 도입의 구체적인 활용 사례로, 수동 튜닝에 따른 부담 감소와 애플리케이션 및 API에서 탐지된 위협 기반 보안 정책 자동화를 소개했다. 2024년 기업의 IT 예산 중 약 18%가 AI에 배정될 것으로 예상되며, 향후 2년 내에는 이 수치가 26% 이상으로 증가할 전망이다.

그는 “생성AI와 머신러닝 시스템에 발생할 수 있는 주요 위협으로 프롬프트 인젝션, 민감 데이터 노출, 출력 결과 처리 미흡, 모델 서비스 거부 공격(DoS) 등이 있다.”라며, “웹 애플리케이션과 API에 발생할 수 있는 위협으로는 서버사이드 요청 위조(SSRF), 객체·기능·속성 수준의 권한 설정 오류, API의 안전하지 않은 소비, 무제한 리소스 소비 등이 있다.”라고 소개했다.

AI 애플리케이션에 다양한 보안 취약점을 초래할 수 있는 API에 대해서도 목소리를 높였다. 그는 “공격자가 인증 취약점이나 보안이 미흡한 API를 악용해 AI 모델이 처리하는 민감한 데이터에 접근할 수 있으며, AI 생태계에서 API 엔드포인트 간의 통신을 가로채는 행위는 생성AI 모델과 그 출력값의 신뢰성에 심각한 위협이 된다."라고 강조했다.

이러한 '블랙박스(black box)' 모델의 보안을 위해서는 모델 주변의 모든 요소를 보호하고 입력과 출력을 모니터링하는 것이 필요하다.

최근 부상하고 있는 생성AI의 주요 위협으로는 “데이터 탈취, 모델 추출, 전이 공격, 데이터 오염, 프롬프트 인젝션, 멤버십 추론, 모델 인버전, DoS, 무단 접근, 회피 공격, 파인튜닝 악용 등이 있다.”라며 “이를 방지하는 실시간 API 모니터링은 공격 신호의 조기 감지, 실시간 위협 완화, 포렌식 분석을 위한 데이터 수집에 핵심적인 역할을 하며, 새롭게 등장하는 공격 유형에 대한 초기 대응의 기반으로도 작용할 수 있다.”라고 조언했다.

이를 위한 F5의 서비스에 대해 제임스 리 아키텍트는 “API는 학습 모델에 데이터를 공급하는 데이터셋을 연결하고, 학습된 모델을 실제 인퍼런스 애플리케이션과 연계한다.”라며 “하나의 AI 에코 시스템을 구축하고 이것을 이용해서 비즈니스나 서비스를 한다라고 했을 때, 보안을 어떻게 구성하고 디자인하는가가 기업이 안전한 생성AI를 사용할 수 있는 기반을 마련하며, F5는 이를 위한 서비스를 제공하고 있다.”라고 말했다.