MITRE ATLAS(인공지능 시스템을 위한 적대적 위협 환경)는 인공지능 및 머신러닝 시스템을 표적으로 하는 공격 전술, 기법 및 사례 연구에 대한 구조화된 지식 기반입니다. MITRE ATT&CK의 AI 특화 버전이라고 생각하시면 되는데, 네트워크나 엔드포인트가 아닌 데이터 파이프라인, 모델 추론 API, 학습 프로세스, 그리고 직원들이 매일 사용하는 AI 도구에 적용됩니다. 2026년 기준으로 ATLAS에는 16가지 전술, 170가지 기법, 35가지 완화 방안, 그리고 57가지 실제 사례 연구가 수록되어 있습니다.
MITRE ATLAS는 무엇이며 어떤 문제를 해결합니까?
20년 동안 MITRE ATT&CK는 방어자들에게 적대적 행동을 파악하는 공통 언어를 제공했습니다. 공격자가 네트워크를 통해 이동하고, 권한을 상승시키고, 데이터를 유출하는 방식을 체계적으로 정리했습니다. 공격 표면이 엔드포인트, 서버, 네트워크 프로토콜, 자격 증명 등 비교적 안정적이었기 때문에 효과적이었습니다.
AI가 그 상황을 바꿔놓았습니다. 마이크로소프트가 2016년에 Tay를 출시했을 때, 24시간 만에 Tay를 무력화시킨 공격은 어떤 CVE도 악용하지 않았습니다. 자격 증명도 탈취되지 않았고, 네트워크 침해도 없었습니다. 공격자들은 시스템이 수용하도록 설계된 인터페이스를 통해 입력값을 제공했을 뿐이고, 모델의 자체 학습 메커니즘이 그 입력값을 역이용한 것입니다. ATT&CK에는 이러한 공격에 대한 범주가 없었습니다.
MITRE ATLAS는 바로 그러한 공백을 메워줍니다. 이 프레임워크는 공격자들이 AI 시스템을 표적으로 삼는 구체적인 방법, 즉 훈련 데이터 조작, 추론 API 악용, 악성 프롬프트 주입, 모델 출력 변조, 그리고 기업 인프라 내에서 자율 AI 에이전트가 유지하는 신뢰 관계 악용 등을 문서화합니다. MITRE ATLAS는 보안 팀에게 위협을 식별하고, 공격 경로를 모델링하고, 스택의 AI 계층에 대한 제어 조치를 매핑할 수 있는 구조화된 분류 체계를 제공합니다.
ATLAS는 MITRE의 위협 정보 기반 방어 센터에서 관리하며 실제 사건 보고를 기반으로 지속적으로 업데이트됩니다. 2025년 11월에 출시된 v5.1.0 업데이트에서는 적용 범위가 크게 확장되었습니다. 2026년 첫 번째 업데이트에서는 새로운 에이전트형 AI 기술이 추가되었는데, 이는 사용자를 지원하는 AI 도구에서 사용자를 대신하여 행동하는 AI 에이전트로의 빠른 전환을 반영한 것입니다.
MITRE ATLAS는 MITRE ATT&CK와 어떻게 다른가요?
ATLAS와 ATT&CK는 경쟁 관계가 아닌 상호 보완적인 관계입니다. ATT&CK는 피싱을 통한 초기 접근, 자격 증명 악용을 통한 측면 이동, 명령 및 제어 채널을 통한 데이터 유출 등 기존의 공격 표면을 다룹니다. ATLAS는 ATT&CK에서 13가지 전술을 직접 계승하여 AI 관련 상황에 적용하고, ATT&CK에는 없는 3가지 전술을 추가합니다.
핵심적인 구조적 차이점은 공격 대상입니다. ATT&CK는 인프라에 대한 공격을 모델링하는 반면, ATLAS는 AI 시스템 자체, 즉 모델 자체, 학습에 사용된 데이터, 노출된 API, 그리고 모델이 내리는 결정에 대한 공격을 모델링합니다. ChatGPT에 대한 프롬프트 주입 공격은 네트워크에는 영향을 미치지 않습니다. 모델의 추론 과정에 영향을 미치는 공격입니다. ATT&CK에는 이러한 공격 기법이 없지만, ATLAS에는 있습니다.
실제로 대부분의 기업 환경에서는 둘 다 필요합니다. ATT&CK는 측면 이동, 랜섬웨어 및 엔드포인트 침해에 대한 적절한 프레임워크로 남아 있습니다. ATLAS는 특정 시점에 필수적이 됩니다. AI 사용 제어 AI는 워크플로의 일부이며, 대다수 지식 근로자에게는 이미 그러합니다. LayerX 연구에 따르면 기업 직원의 45%가 AI 도구를 적극적으로 사용하고 있습니다. AI 계층을 무시하는 보안 프레임워크는 광범위하고 활발한 공격 표면을 파악하지 못한 채 방치하는 것입니다.
또 다른 중요한 차이점은 속도입니다. AI 위협 환경이 더 빠르게 변화하기 때문에 ATLAS는 ATT&CK보다 더 빠르게 업데이트됩니다. 에이전트형 AI 브라우저, AI 에이전트 자격 증명 수집, LLM 기반 명령 및 제어 채널과 관련된 기술은 대부분의 보안 팀이 첫 번째 ChatGPT 배포에 대한 평가를 완료하기도 전에 ATLAS에 나타났습니다.
MITRE ATLAS는 어떤 전술과 기법을 다루나요?
ATLAS는 적대적 행동을 16가지 전술로 분류하며, 각 전술은 AI 시스템에 대한 공격의 단계 또는 목표를 나타냅니다. 이 프레임워크는 익숙한 ATT&CK 전술을 계승하여 AI 환경에 적용합니다. 다음 세 가지 전술은 ATT&CK에 상응하는 것이 없습니다.
ML 공격 준비 이 문서에서는 AI 공격에 특화된 준비 작업, 즉 프록시 모델 구축, 적대적 데이터 학습, 목표 AI 시스템을 모방하는 공격 인프라 구축 등을 다룹니다.
ML 모델 접근 이 문서에서는 공격자가 공개 API, 손상된 내부 엔드포인트 또는 모델 아티팩트에 대한 물리적 접근을 통해 AI 모델과 상호 작용하는 방법을 다룹니다.
머신러닝 모델 공격 모델 동작에 대한 직접적인 공격, 즉 회피, 추론, 역전 및 오염 공격을 다룹니다.
이러한 전술 중 기업 사고 보고서에서 가장 빈번하게 나타나는 몇 가지 기법이 있습니다. 그중 가장 흔한 것은 프롬프트 주입(AML.T0051)입니다. AI 모델을 통한 데이터 유출(AML.T0025)은 AI 도구에 제출된 민감한 정보가 어떻게 추출되거나 노출될 수 있는지를 보여줍니다. 머신러닝 공급망 침해(AML.T0010)는 기업이 AI 워크플로에 통합하는 라이브러리, 데이터 세트 및 타사 모델에 대한 공격을 다룹니다. 이러한 위험이 어떻게 연관되는지 자세히 알아보려면 다음을 참조하십시오. GenAI 보안 제어와 관련하여 LayerX의 연구는 실무자 수준의 분석을 제공합니다.
MITRE ATLAS 기술 중 기업 AI 활용에 가장 적합한 기술은 무엇입니까?
대부분의 ATLAS 논의는 모델 수준 공격, 즉 적대적 예제, 모델 추출, 학습 데이터 오염에 초점을 맞춥니다. 이는 AI 모델을 구축하고 운영하는 조직에게 실질적인 위협입니다. 그러나 대다수 기업의 경우, 당면한 더 큰 위험은 다른 곳에 있습니다. 기업의 AI 위험은 모델 아키텍처에 있는 것이 아니라, 직원들이 매일 AI 도구와 상호작용하는 방식에 있습니다.
기업 직원의 77%가 GenAI 프롬프트에 데이터를 붙여넣습니다. 이 붙여넣기 활동의 절반에는 회사 데이터가 포함됩니다. 기업 환경에서 AI 로그인의 89%는 회사 감독을 우회하며, 사용자는 IT 부서에서 생성하거나 모니터링할 수 없는 개인 계정을 통해 ChatGPT, Copilot, Claude 및 Gemini에 접속합니다.
이러한 현실과 가장 관련성이 높은 ATLAS 기술:
AML.T0051 — 신속 주입: 공격자는 AI 모델이 처리하는 콘텐츠에 악의적인 명령어를 삽입합니다. Copilot이나 AI 기반 이메일 도구를 사용하는 기업 환경에서는 특별한 접근 권한이 필요하지 않습니다. 단지 악의적인 공격자가 대상 사용자가 신뢰하는 AI에 콘텐츠를 노출시키기만 하면 됩니다. AI 오용 방지 컨트롤은 세션 계층에서 이 문제를 해결합니다.
AML.T0025 — AI 모델을 통한 유출: AI 도구에 제출되는 민감한 데이터는 일반적인 HTTPS 트래픽처럼 승인된 목적지로 이동하기 때문에 네트워크 수준의 데이터 유출 방지(DLP) 시스템에서 거의 감지되지 않습니다. 이것이 핵심적인 문제입니다. AI DLP 해결하기 위해 설계되었습니다.
AML.T0098 — AI 에이전트 도구 자격 증명 수집: 2026년 ATLAS에 추가된 기능입니다. 에이전트가 SharePoint, OneDrive 또는 CRM에 대한 지속적인 액세스 권한을 가지고 있는 경우, 해당 에이전트를 침해하는 것은 이러한 도구를 직접 침해하는 것과 동일합니다.
AML.T0100 — AI 에이전트 클릭베이트: 공격자는 AI 에이전트의 의사결정을 조작하기 위해 웹 페이지, 문서 또는 사용자 인터페이스 요소를 제작합니다. 에이전트는 공격적인 의도가 있더라도 작업과 관련된 것처럼 보이는 지시를 따릅니다.
MITRE ATLAS 위협은 기업 환경에서 실제로 어디에서 실행됩니까?
이는 ATLAS 설명자들이 대부분 회피하는 질문이며, 운영상 가장 중요한 질문이기도 합니다.
ATLAS를 읽는 보안 팀은 자연스럽게 네트워크, 엔드포인트, ID와 같은 기존 제어 지점을 떠올립니다. 그러나 대부분의 기업용 AI 공격은 경계를 침범하지 않습니다. 오히려 경계가 감시하도록 설계되지 않은 경로를 통해 경계 내부에서 실행됩니다.
프롬프트 주입은 네트워크 침입처럼 보이지 않습니다. 사용자가 브라우저에서 여는 문서 형태로 나타납니다. AI 모델을 통한 데이터 유출 또한 데이터 침해처럼 보이지 않습니다. 사용자가 HTTPS를 통해 ChatGPT에 입력하는 것처럼 보입니다.
가장 빈번하게 사용되는 엔터프라이즈 ATLAS 기법들의 공통점은 AI 도구 세션 내부의 브라우저 계층에서 실행된다는 것입니다. 네트워크 도구는 ChatGPT 도메인과의 연결만 확인할 뿐, 사용자가 입력한 내용은 알 수 없습니다. 엔드포인트 도구는 브라우저 프로세스만 확인할 뿐, 세션 내부에서 발생한 일은 알 수 없습니다. 신원 확인 도구는 사용자가 인증되었다는 사실만 알 뿐, 그 이후 AI 상호작용을 통해 어떤 데이터가 오갔는지는 알 수 없습니다.
해당 적용 범위 격차는 구성 문제가 아니라 아키텍처 문제입니다. 브라우저 확장 프로그램 보안 이 방법은 이러한 기술이 실행되는 계층에서 문제를 해결합니다.
보안팀은 MITRE ATLAS 제어 기능을 어떻게 실제로 적용합니까?
ATLAS는 위협 모델을 제공합니다. 이를 실제로 구현하려면 프레임워크 기술을 실제 통제에 매핑한 다음, 해당 통제가 미치지 못하는 부분을 보완해야 합니다.
실질적인 출발점은 ATLAS Navigator입니다. 보안 팀은 기존 제어 범위를 ATLAS 매트릭스에 적용하여 탐지, 방지 또는 제어 범위가 없는 기술을 시각화할 수 있습니다. ATLAS 완화 조치의 약 70%는 기존 보안 제어에 대응됩니다. 나머지 30%는 대부분의 스택에서 현재 제공하지 않는 제어 범위를 필요로 하며, 특히 AI 상호 작용 계층에 집중되어 있습니다.
ATLAS 운영화를 가장 앞선 팀들은 AI 상호작용을 별도의 가시성 영역으로 간주하여 전용 제어 기능을 적용합니다. 즉, AI 도구 상호작용에 대한 세션 수준 모니터링, AI 프롬프트로 유입되는 데이터 분류, 그리고 ATLAS에 매핑된 동작에 실시간으로 대응하는 정책 시행 등을 수행합니다.
레딧의 보안 커뮤니티는 이러한 마찰을 직접적으로 제기했습니다. 실무자들은 ATLAS가 분류 체계로서 유용하다고 생각하지만, 대부분의 보안 팀이 확보하지 못한 가시성을 전제로 하는 기법들 때문에 실제 운영에는 어려움을 느낀다고 합니다. 프레임워크는 무엇을 찾아야 하는지 알려주지만, 그 대상을 볼 수 있는 관점을 얻는 것은 별개의 문제입니다.
브라우저 수준의 정책 적용은 MITRE ATLAS 기법에 어떻게 대응합니까?
ATLAS에서 매핑된 대부분의 기업용 AI 위협은 브라우저 세션 내에서 실행됩니다. 이러한 위협에 대응하려면 해당 계층에서 보안 조치를 강화해야 합니다.
LayerX는 엔터프라이즈 브라우저 확장 프로그램으로 작동하며 세션 수준에서 AI 도구 상호 작용에 대한 실시간 가시성과 제어 기능을 제공합니다. 몇 가지 특정 기술 매핑은 직접적입니다.
럭셔리 신속 주입(AML.T0051)LayerX는 ChatGPT, Copilot, Claude, Gemini 등의 AI 도구에 입력되는 내용, 즉 AI 상호작용 콘텐츠를 모니터링합니다. 콘텐츠가 입력 패턴이나 민감 데이터 분류 기준과 일치할 경우, 사용자에게 경고를 보내거나, 민감한 요소를 삭제하거나, 제출을 차단할 수 있습니다.
럭셔리 AI 모델을 통한 데이터 유출(AML.T0025)LayerX는 직원들이 AI 도구에 붙여넣거나 업로드하는 내용을 분류합니다. GenAI 도구에 붙여넣는 활동의 50%에는 기업 데이터가 포함되어 있습니다. 보안팀은 AI 접근을 완전히 차단하지 않고도 모니터링, 경고, 차단 또는 삭제와 같은 단계별 제어를 적용할 수 있습니다.
럭셔리 섀도우 AI 및 무단 도구 접근LayerX는 조직 전체에서 사용 중인 모든 AI 도구를 지속적으로 탐지합니다. 현재 기업 AI 사용량의 89%는 기업의 감독을 받지 않고 있습니다. LayerX는 이러한 사용 현황을 가시화하고 정책 통제하에 둘 수 있도록 지원합니다.
럭셔리 에이전트형 AI 위협 — 자격 증명 수집(AML.T0098), AI 에이전트 클릭베이트(AML.T0100) — LayerX는 ChatGPT Atlas, Perplexity Comet, Dia를 포함한 에이전트 기반 AI 브라우저에 대한 가시성과 시행 기능을 제공하는 유일한 보안 플랫폼입니다.
MITRE ATLAS는 AI 거버넌스 및 규정 준수에 어떤 의미를 갖습니까?
ATLAS는 AI 보안 관련 규제 및 준수 프레임워크에서 점점 더 많이 참조되고 있습니다. EU AI법, NIST AI RMF, ISO 42001은 모두 정책 수준에서 AI 위험 관리를 다루고 있습니다. ATLAS는 정책 요구 사항을 구체적이고 검증 가능한 통제로 변환하는 기술 용어를 제공합니다.
AI 위험에 대해 이사회에 브리핑하는 CISO에게 ATLAS는 신뢰할 수 있는 외부 참고 자료를 제공합니다. ATLAS를 위협 모델링 프로세스에 통합하는 조직은 AI 보안 상태에 대한 구체적인 질문을 하는 감사자, 규제 기관 및 보험사의 문의에 더욱 효과적으로 답변할 수 있습니다.
규정 준수 측면은 공급업체 평가에 영향을 미칩니다. 탐지 및 집행 기능을 특정 ATLAS 기법 식별자(AML.T0051, AML.T0025, AML.T0098 등)에 매핑할 수 있는 도구를 사용하면 팀은 서술형 설명이 아닌 구조화된 적용 범위 맵을 생성할 수 있습니다.
방향은 분명합니다. ATLAS는 연구 프레임워크에서 규정 준수 벤치마크로 전환하고 있습니다.
자주 묻는 질문
MITRE ATLAS는 MITRE ATT&CK와 동일합니까?
아니요. ATT&CK는 기존 네트워크 및 엔드포인트 공격 경로를 다룹니다. ATLAS는 해당 분류 체계를 AI 시스템에 특화하여 확장한 것입니다. ATLAS는 ATT&CK의 13가지 전술을 계승하고 ATT&CK에는 없는 3가지 전술을 추가했습니다. 보안 팀은 두 프레임워크를 함께 사용해야 합니다.
MITRE ATLAS는 신속 주입을 지원합니까?
네. 프롬프트 인젝션은 ATLAS 기술 AML.T0051에 문서화되어 있습니다. 이 기술은 공격자가 AI 모델의 동작을 조작하는 입력을 생성하는 공격, 즉 직접적인 탈옥, 문서나 웹 콘텐츠를 통한 간접적인 인젝션, 플러그인 악용 등을 포괄합니다.
MITRE ATLAS는 얼마나 자주 업데이트되나요?
ATLAS는 지속적으로 업데이트되는 시스템입니다. 2025년 11월에 출시된 버전 5.1.0에는 16가지 전술, 170가지 기법, 35가지 완화 방안, 57가지 사례 연구가 포함되어 있습니다. 2026년 첫 번째 업데이트에서는 에이전트 기반 AI 기법이 추가되었습니다. ATLAS는 실제 사건 보고서를 기반으로 지속적으로 업데이트되는 살아있는 문서입니다.
MITRE ATLAS를 도입하려면 기존 보안 도구를 교체해야 하나요?
아니요. MITRE ATLAS는 프레임워크이지 제품이 아닙니다. 해당 프레임워크에서 제시하는 완화 조치의 약 70%는 기존 보안 제어와 연관됩니다. 부족한 부분은 AI 상호작용 계층, 특히 GenAI 사용 중 브라우저 세션 내부에서 발생하는 상황에 대한 보안입니다.
기존 보안 도구로 탐지하기 가장 어려운 MITRE ATLAS 기법은 무엇입니까?
AI 모델을 통한 데이터 유출(AML.T0025), 프롬프트 주입(AML.T0051), AI 에이전트 자격 증명 탈취(AML.T0098)는 네트워크 또는 엔드포인트 도구에서 거의 감지되지 않습니다. 이러한 공격은 승인된 애플리케이션 내에서 인증된 세션 중에 일반적인 HTTPS 트래픽으로 발생합니다.
MITRE ATLAS는 ChatGPT나 Microsoft Copilot과 같은 브라우저 기반 AI 도구에도 적용되나요?
네. ATLAS 기법 중 일부는 브라우저 기반 AI 상호작용을 통해 직접 실행되며, 여기에는 프롬프트를 통한 데이터 유출(AML.T0025) 및 문서를 통한 프롬프트 주입(AML.T0051)이 포함됩니다. 이러한 기법들은 기업에서 가장 빈번하게 발생하는 AI 위협입니다.
