사단법인 프로젝트 플라즈마(Project Plasma)가 AI 기반 취약점 방어를 사회 전반으로 확산하기 위한 공익 이니셔티브 ‘프로젝트 캐노피(Project Canopy)’를 선보였다. 보안 여력이 부족한 공공·민생 인프라의 방어력을 강화하는 것이 목표로, 두나무와 LG유플러스 등 27개 기업·기관이 런칭 파트너로 참여를 확정했다.

프로젝트 플라즈마는 17일 캐노피를 공식 출범했다고 밝혔다.

고성능 AI 모델 등장으로 취약점 발굴 능력이 빠르게 향상됐으나, AI 보안 위협은 한 조직이 단독으로 대응하기 어렵다는 판단에서다.

캐노피는 AI 기반 취약점 탐지 기술의 혜택을 오픈소스 생태계와 병원·학교·공공 유틸리티 등 민생 인프라로 넓히겠다고 설명했다.

출범에 앞서 시범 활동으로 전자정부표준프레임워크, 학교 내부 시스템, 리눅스 및 주요 데이터베이스 소프트웨어를 대상으로 점검을 수행했다.

그 결과 심각도가 높은 취약점 수백 건을 발견해 해당 기관과 개발 주체에 제보했으며, 현재 패치가 진행 중인 것으로 전해진다.

운영 구조와 관련해 핵심 운영 주체인 스튜어드(Stewards) 그룹은 5개 이하 기업·기관으로 구성했다.

스튜어드에는 두나무, LG유플러스, 포스코DX, 티오리한국, 한화손해보험이 참여한다.

이와 함께 국가·민간 CERT, 보안 벤더, 학계 등이 역량 확산 파트너(Defending Partners)와 연구 협력 기관(Research Affiliates)으로 합류했다.

캐노피는 약 30억 원(USD 200만 달러) 규모의 AI 보안 분석 크레딧 재원을 확보해 전액 기부금 형태로 운용한다고 밝혔다.

집행 내역은 투명하게 공개 보고할 방침이다.

재원은 △오픈소스 프로젝트 메인테이너에게 무상 취약점 점검 크레딧을 제공하는 오픈소스 프로그램 △공공기관과 병원·학교 등을 지원하는 민생 인프라 방어 프로그램 △취약점 검증·패치 과정에 참여한 메인테이너와 화이트햇 해커에게 보상하는 협력 공개 및 패치 보상 프로그램 등에 쓰인다.

박세준 위원장은 “AI가 취약점을 찾는 속도는 공격자와 방어자 모두에게 똑같이 주어지지만, 이를 방어하고 패치할 여력은 조직마다 불평등하다”라며 “캐노피는 그 격차를 메우기 위해 기술과 자본, 사람이 공익적 관점에서 결합한 방파제”라고 말했다.

캐노피는 6월 중순부터 점검 대상을 선별하고 제보·패치를 공유하는 1차 거버넌스 프로세스에 들어가며, 7월 초 전 세계 기업·기관을 대상으로 한 공개 가입 페이지를 열 계획이라고 덧붙였다.