F5 코리아, ‘에이전틱 AI 시대의 API 보안’ 보고서와 플랫폼 전략 발표
한국 기업, 도입 속도는 빠르지만 API 보안 성숙도는 여전히 부족
MCP 보안 공백 지적, F5는 ADSP 플랫폼으로 다계층 보안 대안 제시
에이전틱 AI가 기업 환경에 빠르게 확산하면서 API 보안이 중요한 과제로 부상하고 있다. 생성형 AI가 단순히 콘텐츠를 만들어내는 데 그쳤다면, 에이전틱 AI는 다양한 애플리케이션과 실시간으로 연결돼 사용자의 목적을 직접 실행하는 방식으로 작동한다. 이 과정에서 API는 모든 상호작용의 관문이 되지만, 보안 성숙도가 뒷받침되지 않으면 내부 데이터 유출과 시스템 마비로 이어질 수 있다. API 보안을 전략적 자산으로 격상해야 한다는 요구가 커지는 이유다.
이러한 흐름을 바탕으로 F5 코리아는 29일 F5코리아 오피스에서 미디어브리핑을 열어 아시아태평양 지역 1000명의 전문가를 대상으로 진행한 조사 결과를 발표했다. 이번 간담회는 이형욱 F5 코리아 지사장의 환영사와 이진원 F5 코리아 상무의 주요 발표로 이어졌다.
이형욱 지사장은 환영사에서 인공지능의 진화를 짚으며 “AI가 일상화된 지 오래지만 이제는 ‘에이전틱 AI’라는 새로운 국면에 진입했다”고 말했다. 그는 생성형 AI와의 차이를 언급하며 “생성형 AI가 무엇을 만들어낼지를 보여줬다면, 에이전틱 AI는 어떻게 답을 만들어갈지를 보여주고 있다”고 설명했다. 이어 모든 디지털 서비스가 API를 통해 작동한다는 점을 강조하며 자율적 AI 확산 속에서 API 보안은 더 이상 기술적 세부 과제가 아니라 기업 생존과 직결된 사안이라고 강조했다.
발표를 맡은 이진원 상무는 한국 시장의 빠른 변화를 구체적으로 전했다. 그는 “본사 엔지니어들이 한국을 방문하면 ‘한국은 정말 빠르다’는 피드백을 준다. 이미 여러 기업이 오픈소스를 활용해 에이전틱 AI를 테스트 중이고 일부는 실제 서비스 환경에 적용하고 있다”고 말했다. 하지만 준비 수준은 이에 미치지 못한다. 조사 결과, 국내 기업의 68%가 API 보안을 중대한 요소로 평가했으나 도구·프로세스·인력 측면에서 충분히 대비돼 있다고 답한 비율은 40% 미만에 불과했다. 이 상무는 “보안의 본질은 보이는 것을 막는 것인데, 많은 기업이 자사에 어떤 API가 있는지조차 파악하지 못하고 있다”며 API 가시성 부족 문제를 지적했다.
이 상무는 생성형 AI와 에이전틱 AI의 차이를 사례로 풀어냈다. 그는 “생성형 AI는 호텔 예약을 부탁하면 단순히 예약 가능한 호텔과 항공편을 안내하는 수준이지만 에이전틱 AI는 실제로 호텔과 항공편을 예약하고, 캘린더를 확인해 일정을 반영하며 확인 메일까지 보내준다”고 설명했다. 이는 생산성을 크게 높이는 동시에 다양한 애플리케이션과 API 간의 통신을 폭발적으로 증가시켜 보안 리스크를 동반한다는 점을 강조한 것이다.
발표에서는 'API 라이프사이클 전 과정에 걸친 실시간 위험 평가와 모니터링', '에이전트와 시스템 간 저지연 연동을 위한 이벤트 기반·스트리밍 아키텍처', '보안 성숙도를 경쟁 우위로 삼는 체계 확립', 'AI·보안·비즈니스 전문성을 통합한 중앙집중형 거버넌스', 'API 보안을 단순 방어 수단이 아니라 전략적 자산으로 격상하는 접근' 을 포함한 API 보안의 다섯 가지 전략 과제가 제시됐다. 이 상무는 “에이전틱 AI의 핵심은 결국 API이며 이를 안전하게 관리하지 않으면 모델 자체도 보호할 수 없다”고 강조했다.
간담회에서는 MCP(Model Context Protocol) 보안 문제도 주요하게 다뤄졌다. MCP는 에이전틱 AI 구현을 위한 핵심 프로토콜이지만 자체적으로 인증과 권한 관리 기능을 지원하지 않아 보안 공백을 초래할 수 있다. 이 상무는 “만약 MCP 서버가 해킹되면 기업 내부 데이터까지 무제한으로 접근할 수 있어 치명적인 위협이 된다”고 경고했다. 그는 MCP 서버의 구조적 한계와 함께 세분화된 권한 관리 부재가 실제 기업 환경에서 얼마나 큰 리스크로 이어질 수 있는지를 강조했다.
F5는 이에 대한 대안을 제시했다. OAuth 기반 인증과 권한 관리, 정책 기반 로드밸런싱, WAF를 통한 악성 트래픽 차단, 툴 호출 빈도 제한, API 접근 제어 및 모니터링을 통합 제공해 MCP 보안을 강화하는 접근이다. 이 상무는 “프론트엔드와 백엔드 전 구간에 걸쳐 다계층 보안이 필수적”이라며 F5 플랫폼이 제공하는 차별화된 기능을 설명했다.
F5가 최근 공개한 ‘ADSP(Application Delivery and Security Platform)’도 중요한 발표 내용 중 하나였다. ADSP는 API 보안, LLM 보안, 섀도 AI 보안, 에이전틱 AI 보안을 단일 정책 체계 안에서 제공하는 통합 플랫폼으로 멀티클라우드 환경 전반에서 일관된 보안 적용을 가능하게 한다. 이형욱 지사장은 “빠른 AI 전환 속도 속에서 개별 보안 솔루션을 따로 구축하는 방식은 비효율적이다. 플랫폼 기반 접근만이 지속 가능한 보안을 가능하게 한다”고 말했다.
이 상무는 또 “2028년까지 전체 기업 애플리케이션의 80%가 AI 서비스로 전환될 것”이라는 전망을 소개하며 기업들이 API 보안을 단순한 방어선이 아니라 전략적 자산으로 삼아야 한다고 강조했다. 이어 “국내 통신사를 비롯한 기업들이 이미 MCP 서버를 자체 구축하거나 오픈소스로 테스트를 진행하고 있다”며 “내년에는 이러한 시도가 실제 서비스 환경으로 확대될 것”이라고 전망했다.
간담회에 이어진 질의응답 세션은 MCP 프로토콜의 대체 가능성, 중소기업의 적용 방식, ADSP의 도입 유연성 등에 집중됐다. 이에 대해 발표자들은 “MCP는 현재 표준 프로토콜로 자리잡고 있으며 향후 다양한 MCP 서버 구현이 등장할 수 있다”고 답했다. 또한 ADSP의 도입 방식과 관련해 “플랫폼 전체를 일괄 구매하는 것이 아니라 SaaS, 소프트웨어, 하드웨어 등 다양한 형태로 원하는 기능만 선택적으로 적용할 수 있다”고 덧붙였다.
이번 간담회에서 F5 코리아는 에이전틱 AI 확산 속에서 API 보안이 단순한 기술적 문제를 넘어 기업 전략 중심에 서야 함을 분명히 했다. 덧붙여 기업은 빠른 도입 속도에 걸맞은 보안 성숙도를 확보하기 위한 플랫폼 기반의 통합적 접근이 필수적이라는 점을 강조했다.
헬로티 구서경 기자 |
