'글래스윙' 닮은 한국형 AI 보안망…플라즈마 '캐노피' 출범

[경제일보] 사단법인 프로젝트 플라즈마가 인공지능(AI) 기반 취약점 방어를 사회 전반으로 확산하기 위한 공익 이니셔티브 ‘프로젝트 캐노피’를 공식 출범했다. 고성능 AI가 소프트웨어 취약점을 찾는 속도를 끌어올리면서, 공격자보다 먼저 공익 인프라의 약점을 찾아 막겠다는 취지다.

프로젝트 플라즈마는 17일 프로젝트 캐노피 출범을 알리고 오픈소스 생태계와 병원, 학교, 공공 유틸리티 등 민생 인프라를 대상으로 AI 기반 취약점 탐지와 패치 지원을 확대한다고 밝혔다. 캐노피는 보안 역량이 부족한 조직도 고성능 AI 보안 기술의 혜택을 받을 수 있도록 하는 공익형 보안망을 표방한다.

이번 이니셔티브는 해외에서 주목받은 앤트로픽의 ‘프로젝트 글래스윙’과 문제의식이 맞닿아 있다. 글래스윙이 고성능 AI 모델을 제한된 파트너에게 제공해 주요 소프트웨어 취약점을 찾는 방어 실험이었다면, 캐노피는 국내 공공·민생 인프라와 오픈소스 생태계에 초점을 맞춘 한국형 공익 보안 모델에 가깝다.

캐노피는 출범 전 시범 활동을 통해 전자정부표준프레임워크, 학교 내부 시스템, 리눅스 및 주요 데이터베이스 소프트웨어 등 공공성이 높은 대상을 점검했다고 설명했다. 그 결과 심각도 높은 취약점 수백건 이상을 발견해 해당 기관과 개발 주체에 제보했으며, 현재 패치가 진행 중이라고 밝혔다.

출범 시점 기준 27개 기업·기관이 런칭 파트너로 참여했다. △두나무 △LG유플러스 △포스코DX △티오리한국 △한화손해보험 등 5개 기업이 핵심 운영 주체인 스튜어드(Stewards) 그룹에 이름을 올렸다. 광운대, 금융결제원, 롯데카드, 롯데이노베이트, 모두싸인, 무신사, 삼성화재보험, SK AX, LG전자, NHN, 우아한형제들, 정보통신기획평가원, 코웨이, 하나카드, 한국투자증권, 현대자동차그룹, 현대카드 등도 파트너(Defending Partners)로 참여한다.

재원도 마련했다. 캐노피는 약 30억원, 미화 200만달러 상당의 AI 보안 분석 크레딧을 확보해 전액 기부금 형태로 운용한다. 해당 재원은 비용 부담 때문에 고성능 AI 보안 기술을 쓰기 어려웠던 오픈소스 메인테이너와 민생 인프라 운영 주체에게 제공된다. 기금 집행 내역은 투명하게 공개 보고한다는 방침이다.

지원 프로그램은 세 가지다. 오픈소스 프로그램은 핵심 인프라와 국내외 오픈소스 프로젝트에 AI 기반 취약점 점검 크레딧을 제공한다. 민생 인프라 방어 프로그램은 공공기관, 병원, 학교, 공공 유틸리티, NGO 등 생활과 밀접하지만 보안 여력이 부족한 조직을 대상으로 한다. 협력 공개 및 패치 보상 프로그램은 취약점 검증, 패치 제작, 공시 과정에 참여한 메인테이너와 화이트햇 해커에게 보상을 지급하는 구조다.

박세준 프로젝트 캐노피 위원장은 “AI가 취약점을 찾는 속도는 공격자와 방어자 모두에게 똑같이 주어지지만, 이를 방어하고 패치할 수 있는 여력은 조직마다 불평등하다”며 “캐노피는 그 격차를 메우기 위해 기술과 자본, 사람이 공익적으로 결합한 방파제”라고 말했다.

캐노피는 이달 중순부터 취약점 점검 대상을 선별하고 제보·패치 공유를 위한 1차 거버넌스 프로세스에 들어간다. 7월 초에는 글로벌 기업과 기관을 대상으로 공개 가입 페이지도 열 계획이다.

성패는 취약점을 얼마나 많이 찾느냐보다 얼마나 책임 있게 고치느냐에 달려 있다. AI가 보안 취약점을 대량으로 찾아내는 시대가 열렸지만, 실제 방어력은 검증과 우선순위 분류, 패치, 공시, 운영 반영까지 이어질 때 높아진다. 캐노피가 공익 인프라의 보안 격차를 줄이는 모델이 되려면 투명한 거버넌스와 책임 있는 공개 원칙, 지속 가능한 보상 체계를 함께 증명해야 한다.