한국판 글래스윙, "프로젝트 캐노피…AI 생태계 수호하겠다"

한화손해보험디지털데일리2026.06.18 00:00

[인터뷰] 박세준 프로젝트 캐노피 위원장(티오리 대표)박세준 프로젝트 캐노피 위원장(티오리 대표)이 6월17일 서울 오크우드 프리미어 코엑스 센터에서 열린 '프로젝트 캐노피' 출범식에서 발언하고 있다. [사진=티오리][디지털데일리 김보민기자] 한국판 인공지능(AI) 보안 연합체 '프로젝트 캐노피(Project Canopy)'가 공식 출범했다. AI 스타트업 앤트로픽이 글로벌판 연합체 '프로젝트 글래스윙'을 공개하며 시장을 발칵 뒤집은 지 2개월 만이다. 출범을 함께한 기업과 기관은 총 27곳, 현대차그룹을 비롯해 삼성·LG·SK 등 주요 계열사도 명단에 이름을 올렸다.한국판 글래스윙이 실현되기까지 일등공신 역할을 한 인물을 꼽자면 박세준 프로젝트 캐노피 위원장(티오리 대표)을 빼놓을 수 없다. 티오리는 두나무, LG유플러스, 포스코DX, 한화손해보험과 이번 프로젝트 핵심 주체인 '스튜어드'로 참여하며 AI 기반 취약점 방어를 확산하겠다는 포부를 내비치고 있다. 나뭇가지와 잎이 맞닿아 숲을 보호하는 캐노피처럼, AI 시대 안전한 사회를 만들겠다는 의지를 엿볼 수 있는 부분이다.박 위원장은 17일 출범식을 마치고 취재진을 만나 "프로젝트 캐노피는 비와 햇빛을 막아주며 생태계를 안전하게 지키는 역할을 할 것"이라고 강조했다. AI 보안 분석 재원으로 운용할 공익 기금은 약 30억원. 박 위원장은 이를 통해 보안 대응 역량이 부족한 민생 인프라를 적극 지원하겠다는 의지도 확인했다.Q. '캐노피' 이름의 의미는.A. 프로젝트 글래스윙의 '글래스윙(Glasswing)'은 이름 그대로 투명한 날개를 가진 나비다. 그만큼 투명하게 취약점을 발견하고 운영하겠다는 의미를 담은 이름이다. 글래스윙은 애벌레 시절부터 천적이 없다고 한다. 즉, AI 보안 연합체는 글래스윙의 천적이라기보다 상호보완적인 관계로 구현돼야 한다. 프로젝트 글래스윙 또한 출범 당시 '모든 취약점을 처리할 수 없기 때문에 세계 곳곳에 비슷한 이니셔티브가 있어야 한다'고 이야기했던 이유도 같은 맥락이다.이러한 관점에서 접근했을 때 우리 또한 포용적이고 포괄적인 이름이 필요하다고 생각했다. 글래스윙 같은 나비조차 포함할 수 있는 게 숲이지 않나. 나비도 숲이라는 생태계 안에서 사는 생물이고, 캐노피는 이러한 숲을 지키는 지붕 역할을 한다. 프로젝트 캐노피는 생태계를 안전하게 지키는 역할을 하면 좋겠다는 뜻을 담고 있다.Q. 미국의 앤트로픽 '미토스' 수출 제한으로 한국이 프로젝트 글래스윙 참여에 제동이 걸렸다는 소식이 전해졌다. 프로젝트 캐노피가 반사이익을 누릴 부분이 있나.A. 반사이익을 기대하지는 않지만, 실제 효과들이 나타나고 있다. 어차피 미토스를 다 쓸 수 있는 상황이 아니었고 글래스윙에도 모두 참여할 수 있던 건 아니었지만, 접근 가능한 모델에도 제한이 걸린 만큼 의미가 부각됐다고 보고 있다. 프로젝트 캐노피는 단일 모델, 기술, 솔루션에 의존하기보다는 AI 시대 생태계를 안전하게 하는 데 목적이 있다. 여러 개를 하이브리드 형태로 쓸 수 있도록 접근 방법을 달리하고 있다고 말할 수 있다.Q. 프로젝트 캐노피는 '스튜어드'와 '디펜딩 파트너'로 구성돼 있다. 차이점은.A. 스튜어드는 운영 주체다. 어떤 오픈소스 프로젝트와 솔루션을 점검하고 검증할지, 그 대상을 선정하기 위한 의결 기구라고 보면 된다. 취약점을 선별하는 화이트해커에 대한 예산 지급, 오픈소스 메인테이너 인센티브 제공 등 기금 운용에 대한 부분도 다루게 된다. 연구 과제(리서치 어필리에이트)에 대한 의사 결정을 내리는 역할도 한다. 기금을 출연하고 인력, 인프라, 자금과 같은 지원을 실질적으로 수행하는 티어(Tier)라고 봐주면 된다. 디펜딩 파트너는 이 같은 조건에 해당하지 않지만 추후 캐노피 플랫폼을 통해 취약점 정보를 제공받게 된다.큰 차이점을 꼽자면, 스튜어드는 패치가 나오기 전 취약점을 알 수 있다. 스튜어드는 어떤 취약점을 제보하고 공개할지 자세한 내용을 공유하기 때문이다. 물론 이들이 이를 악용하지 않는다는 신뢰는 전제가 돼야 한다. 실제 패치가 나오면 취약점 정보를 공개할 텐데, 스튜어드와 파트너 간 시기에 차이가 있지만 그만큼 기여해야 하는 양이 다르다. 추후 설문조사를 통해 파트너들이 제일 영향을 많이 받는 소프트웨어를 선별해 살펴볼 예정이다.Q. 캐노피 플랫폼은 무엇인가.A. 기업들은 해당 플랫폼에 들어와 취약점 정보와 국제적으로 중요한 공통취약점및노출(CVE)을 모아 볼 수 있게 된다. 오픈API 형태로 시스템에 가져가서 연동시킬 수 있는 구조로 만들고 있다.Q. 스튜어드에 참여한 기업들의 경우 보안, 통신, 가상자산 등 분야가 다르다. 산업별로 나눈 이유가 있나.A. 분야를 나누려고 하진 않았다. 많은 곳에 제안을 드렸고, (현재 명단에 오른 곳들은) 선뜻 동참해준 기업들이다. 이번 출범식 때 이야기했던 내용 중 하나를 공유하자면, 연내 분과를 나눌 계획도 있다. 금융, 피지컬 AI 등 산업에 특화된 분과를 나누는 방식이다. 스튜어드가 분과장 역할을 해줄 것으로 기대하고 있다. 구체적인 안은 구상 중이다.Q. 사단법인 프로젝트 플라즈마 주도로 이번 연합체가 출범했다. 상근, 비상근을 비롯해 계획하고 있는 인력 규모는.A. 프로젝트 캐노피를 전담할 팀을 구성하고 있다. 운영 사무국을 통해 확장할 예정이고, 회원은 아니지만 비상근 개념으로 더 많은 화이트해커와 협업할 계획도 있다. 취약점을 발굴하고 이를 자동화하는 것은 티오리 '진트'뿐만 아니라 다른 보안 기업의 솔루션으로도 가능하지만 실제 파급력과 영향 범위, 제보 선별, 패치 완성까지는 전문가가 필요하다. 현재 27개 참여 기업과 기관을 제외하고 참가 의사를 보인 보안 기업들도 있다. 현재 파이프라인에 있는 곳만 해도 최소 5~6곳이다.Q. AI 시대로 넘어오면서 '취약점을 찾는 속도는 빨라졌는데 조치는 늦다'는 피로 섞인 이야기가 나온다. 이를 지원할 행정 인력이 중요해졌는데 프로젝트 캐노피가 도울 부분은.A. 취약점을 찾는 일은 예전보다 저렴하고 쉬워졌다. 그러나 중요한 부분은 취약점을 찾은 '다음'이다. 그중 하나가 선별이다. 수많은 취약점 중 어떤 것을 먼저 대응해야 하고, 어떤 것이 실제 존재하는 위협인지를 분류해 제보한 뒤 고치는 단계가 필요하다. 패치가 됐는지 검증하는 것도 마찬가지다.프로젝트 캐노피는 패치가 나온 뒤 적용 방법과 안내, 가이드라인 등 방법론을 연구해 제공할 계획이다. 많은 보안 기업들이 참여해주면 좋겠다는 생각이 드는 이유다. 일례로 티오리는 프로젝트 캐노피에서 '취약점 발굴' 분야에서 기술적으로 기여할 수 있다. 그러나 취약점에 영향받는 자산을 식별하는 것은 티오리의 영역이 아니다. 공격이 들어왔을 때 로그를 살펴보고 이를 보안정보및이벤트관리(SIEM)로 모아 판별하는 솔루션도 같이 작동해야 가치를 증폭시킬 수 있다. 현재 프로젝트 합류를 이야기한 글로벌 보안 기업들도 있다.Q. 공공기관을 비롯해 병원, 학교 등 실생활과 밀접하지만 보안 여력이 부족한 민생 인프라를 집중 지원할 계획인데, 구체적인 방안은.A. 기금이 중요한 역할을 할 것이다. 특히 취약점을 알고 있고 패치가 나왔다 하더라도 실제 이를 해결할 역량이 없는 조직들이 대상이다. 실력 있는 화이트해커 혹은 메인테이너들과 연계해 직접 해당 조직에 들어가 고쳐준다거나, 긴밀하게 가이드라인을 주는 형태로 지원할 예정이다. 민생 인프라를 집중 지원하려면 기관들의 도움도 필요할 텐데, 현재 시너지가 날 수 있는 곳들이 있어 이야기를 하고 있다.공공 인프라 관점에서 테스트를 해보고 있다. 웹 서비스를 운영하는 데 필요한 '전자정부표준프레임워크'가 대표적이다. 관련해 취약점이 발견됐고 트리아지(우선순위 선정)를 통해 고쳐진 부분도 있고 남은 제보도 있다.Q. 독자파운데이션모델(독파모)과 연계할 계획은.A. 가능성이 있다. 독파모 기업들의 역량을 함께 연계하면 좋겠다고 생각한다. 현장을 보면 미토스가 등장한 이후 더더욱 소버린(주권) AI에 대한 관심이 커졌고 필요성도 많이 느끼는 것 같다. 이러한 관점이 꼭 의존성 문제뿐만이 아니라 국가안보 차원에서도 바람직한 방향이라고 생각한다. 문제 해결에 있어 당장 격차가 있는 것은 인정해야 할 부분이다. 모든

원문 보기 ↗